-
Junior Member
- Вес репутации
- 54
Перехватчик speo.sys и не отключается служба TermService
1. Не отключается служба TermService (Службы терминалов) - при отключении вручную в "Службах" или скриптом AVZ, или через реестр - после перезагрузки вновь активна (тип запуска - Вручную), но не запущена;
2. При сканировании AVZ определяет много перхватчиков, например:
".. \FileSystem\ntfs[IRP_MJ_CREATE] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE01F8 -> перехватчик не определен.."
или
".. Функция NtCreateKey (29) перехвачена (806237E0->B7EAA0E0), перехватчик speo.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80624020->B7EC7CA2), перехватчик speo.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8062428A->B7EC8030), перехватчик speo.sys
>>> Функция воcстановлена успешно !.."
Причем этот файл - "speo.sys" каждый раз выступает в новой ипостаси - spxe.sys, sppn.sys и т.д., в системе их обнаружить не удаётся.
На ноуте установлен обычный офисный набор +
- IKARUS Security Software - рабочий, всё ловит, кроме вышеописанного;
- Bioscrypt VeriSoft Access Manager - для входа в систему по отпечатку пальца со встроенного сканера (ноут HP Pavilion dv2855ee)
Свежий AVPTool ничего не находит
А так - всё работает и не тормозит особо...
Заранее спасибо,
Geezer
Последний раз редактировалось Geezer; 25.09.2009 в 21:53.
Причина: Не получается вложить логи...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
sp**.sys - это от DaemonTools
Выполните скрипт в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ddnt.sys','');
QuarantineFile('C:\TEMP\ALSysIO.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин по ссылке вверху страницы. Повторите логи АВЗ с включенным AVPZM.
Последний раз редактировалось vegas; 27.09.2009 в 20:11.
-
-
Junior Member
- Вес репутации
- 54
vegas,
Спасибо!
Однако, прежде чем приступать, можно 2 вопроса:
1. В скрипте: _ ClearHostsFile; Зачем? Host сделал сам (SpyBot помог ), я так понимаю, это допзащита от нежелательных сайтов...
2 Файл APSHook.dll - принадлежит Verisoft Access Manager, программе, через которую я логинюсь по отпечатку пальца.. Пароль на вход я, естественно, давно забыл, и если я "пофиксю" этот файл, прога, скорее всего, вылетит и я не смогу войти в систему...
Жду комментариев
С уважением,
Geezer
Последний раз редактировалось Geezer; 27.09.2009 в 19:25.
-
Обычно большой hosts - работа зловреда, если вы сами его создали - удалять не будем . APSHook.dll оставим в покое, включаем AVZPM, выполняем скрипт, закачиваем карантин и делаем новые логи
-
-
Junior Member
- Вес репутации
- 54
vegas,
Сообщение от
vegas
включаем AVZPM
AVZPM или AVZGuard? Драйвер AVZPM постоянно включен (загружен)...
-
AVZPM - установить драйвер расширенного мониторинга процессов, перезагрузиться, сделать логи
-
-
Junior Member
- Вес репутации
- 54
Скрипт выполнен, AVZPM установлен (задействовал при установке АВЗ, вроде загружен постоянно)
-
Логи чистые, драйвер AVZPM удалите. Какие то проблемы в работе компьютера имеются?
-
-
Junior Member
- Вес репутации
- 54
vegas,
Спасибо!
Был в командировке...
Проблем с работой нет. Волнуют лишь красные строки при проверке АВЗ, (свежий скан) типа:
"1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE01F8 -> перехватчик не определен.."
и
" Функция NtCreateKey (29) перехвачена (806237E0->B7EAA0E0), перехватчик spxs.sys
Функция NtEnumerateKey (47) перехвачена (80624020->B7EC7CA2), перехватчик spxs.sys
Функция NtEnumerateValueKey (49) перехвачена (8062428A->B7EC8030), перехватчик spxs.sys..."
Кстати, Вы писали - "sp**.sys - это от DaemonTools"
НО Я НЕ УСТАНАВЛИВАЛ DaemonTools ! Хотя файл sptd.sys в системе есть..
И второе - TermService (Службы терминалов) так и не отключается! Хоть скриптом в АВЗ, через редактор реестра или просто в службах... Отключаю - после перезагрузки опять "в ручном режиме". Первый раз такая проблема, всегда сразу после кстановки системы отключал TermService, а теперь как феникс...
-
НО Я НЕ УСТАНАВЛИВАЛ DaemonTools ! Хотя файл sptd.sys в системе есть.
ну это от него, перехваты тоже... неужели никогда не ставили на компьютер никакой эмулятор дисков ?
TermService (Службы терминалов) так и не отключается! Хоть скриптом в АВЗ, через редактор реестра или просто в службах...
такой скрипт применяете?
Код:
begin
SetServiceStart('TermService', 4);
end.
При выполнении скрипта антивирусы и прочее отключаете ?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-