Здравствуйте. Недавно скачал AVZ. При проверки он нашёл перехватчики и др., в основном это были файлы антивируса и файрволла. Но было ещё кое-что, непонятное для меня. Например, в пункте 1.1 были строчки, подобные этой:
Код:
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод CodeHijack (метод не определен)
и в пункте 1.5 строчки, подобные этой:
Код:
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A7CB1F8 -> перехватчик не определен
Я сначала решил что это всё антивирус и файрволл, но сегодня решил это проверить. Деинсталлировал их, а заодно и эмулятор привода диска. Запустил проверку и увидел, что появилось ещё что-то совсем мне непонятное В пункте 1.2, где раньше были файлы антивируса и файрволла, появились сообщения о перехватчике ****.sys. Что это за файл и где он находится я не смог выяснить, причём название его при последующих проверках меняется. Также я не пойму что вот это за файл в пункте 3:
Помогите разобраться, а то у меня такое чувство появилось, что в системе какой-то тщательно скрывающийся от меня и антивируса руткит
Прилаживаю в этом сообщении логи с установленными антивирусом и файрволлом:
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А вот логи с деинсталлированными антивирусом, файрволлом и эмулятором привода диска. Также прошу помочь разобраться с другими пунктами
2.
Код:
Анализатор - изучается процесс 380 *:\WINDOWS\system32\PnkBstrA.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
что это означает? оно может отправлять какие-то письма без моего ведома?
3.
Достаточно было антивирус отключить Но вы сделали больше, что похвально. Может в правила впишем ваше предложение со ссылкой на вас, как рационализатора
отвечаю по вашим пунктам:
1- sptd.sys - от эмулятора дисков- собственно это руткит, только с хорошими намерияними,то есть эмулирует диск, когда его нет физически.эмулятор привода диска-не сдаётся просто так всё равно я вижу его следы в логах.
2 PnkBstrA.exe
- этот файл от онлайн игр против читеров, то есть если тяжёлыми играми в оналайн не играете, то можно избавиться от него. Не думаю что он почту шлёт, возможно теоретически и может, можно
Олега спросить, если очень интересно. (запакуйте его как полагается и напишите письмо Олегу Зайцеву)
3. MMACEPrev.exe- часть кода похоже, вот и сообщает. Опять же, письмо к Олегу, в теме указать false positive, проверьте пожалуйста
unopkg.com - PE файл с измененным расширением, допускающим запуск-
.тут даже перевода не надо. файл с расширением com действительно исполняемый файл, а что вас тут удивило?
8.нет, это не служба, это параметр в реестре. По умолчанию в виндоус
к ПК разрешен доступ анонимного пользователя.
Отключать или нет- это смотря по обстоятельствам. Безопасней отключить. Если один компьютер, то с закрытыми глазами отключать.(Насчёт глаз я образно:лучше проводить любые действия с открытыми глазами, а то можно не то отключить :0). Если у вас десяток компьютеров соединенные в сеть, то легче оставить, но безопаснее отключить и настроить так чтобы друг друга видели, а чужие анонимки нет.
Я удовлетворил ваше любопытство? Теперь и вы моё удовлетворите, несколько файлов хотелось бы чтобы вы прислали.
Для этого нужно вам выполнить скрипт в avz:
Да, я решил деинсталлировать всё что явно могло, на сколько я понимаю, обнаруживаться AVZ. Но я всё таки хотел бы узнать, что он находит после деинсталляции этого всего. Я имею ввиду эти 7 функций KiST, где перехватчик какой-то файл, с изменяющимся каждый раз именем. То spzj.sys, то spmm.sys, то spxi.sys или ещё как. Месторасположение его не указано, просто написан этот файл и всё. И что значит "перехватчик не определен" - это нормально? По остальному я понял, службу PnkBstrA отключил, файл удалил вроде (оно мне действительно не надо ). А скажите, пожалуйста, путь до этого параметра в реестре, и как этот параметр изменить, чтоб не было доступа анонимного пользователя.
Файл linkdel.cmd в авторане. Зачем не знаю, но в его описании написано что это "Командный сценарий Windowd NT". Скрипт выполнил, карантин отправил.
Спасибо! Извините за эти вопросы, пожалуйста Лень было поиском пользоваться Всё нашёл. Вообще можно тему "ф топку", так как автор не воспользовался поиском перед её созданием
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: