Показано с 1 по 20 из 20.

Перехватчики ntfs, маскировка сервисов,Cmpcallcallbacks (заявка № 59529)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26

    Arrow Перехватчики ntfs, маскировка сервисов,Cmpcallcallbacks

    После переустановки винды проверил АВЗ, а там букет клопов разномастных. Частая перезагрузка ни стого ни с чего, зависает,удалилась учетная запись, после этих перезагрузок вся винда на перекосяк...
    Помогите пожалуйста избавиться от насекомых!!!
    Вложения Вложения
    Последний раз редактировалось pig; 07.11.2009 в 07:35. Причина: карантин в теме - моветон

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Ничего зловредного в логах нет.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Ничего зловредного в логах нет.
    Функция kernel32.dlloadLibraryA (581) перехвачена, метод APICodeHijack.JmpTo[10005BA6]
    >>> Код руткита в функции LoadLibraryA нейтрализован
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    CmpCallCallBacks = 00088FF6
    Disable callback - уже нейтирализованы
    Проверка IDT и SYSENTER завершена
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 82BA7500 -> перехватчик не определен

    Извините конечно , но мне кажеться так не должно быть, Вам виднее.
    Вложения Вложения
    Последний раз редактировалось xooch; 07.11.2009 в 06:39.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Желательно деинсталлировать MBAM и TuneUp. И кстати, что за сборка Windows у Вас?

    Цитата Сообщение от xooch Посмотреть сообщение
    так и должно быть???
    Это нормально...
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26
    Деинсталирую, сборка WindowsXP SP3 RU BEST XP EDITION Release 9.9.5.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от xooch Посмотреть сообщение
    сборка WindowsXP SP3 RU BEST XP EDITION Release 9.9.5.
    Вот главная проблема. Использование левых сборок Windows типа Zver, Samlab и им подобных...
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26
    И все-таки я полагаю это не нормально, ведь раньше не было ни каких APICodeHijack.JmpTo и ntfs/FastFat перехватчиков.

    Добавлено через 7 минут

    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Вот главная проблема. Использование левых сборок Windows типа Zver, Samlab и им подобных...
    Если не трудно опишите эти главные проблемы... а Samlab не делает сборок.
    Последний раз редактировалось xooch; 07.11.2009 в 06:59. Причина: Добавлено

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Перехваты абсолютно нормальные. Раньше это когда? Вы часто делаете логи AVZ и смотрите, что в них интересного?
    Наша служба, будто сердце, отдыха не знает никогда.

  10. #9
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26
    CmpCallCallBacks = 00088FF6 - это что такое обьясните мне пожалуйста если не трудно!!!
    Раньше - это до того как появились разного рода перехватчики
    Да, я часто делаю логи.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от xooch Посмотреть сообщение
    Если не трудно опишите эти главные проблемы...
    Например, при лечении от вирусов сталкивалась с невозможностью отключить восстановление системы.

    Цитата Сообщение от xooch Посмотреть сообщение
    а Samlab не делает сборок.
    http://streamzone.ru/tracker/windows...us-t16496.html
    http://nnm.ru/blogs/valek101/windows...orka_samlabws/

    Добавлено через 5 минут

    Цитата Сообщение от xooch Посмотреть сообщение
    CmpCallCallBacks = 00088FF6 - это что такое обьясните мне пожалуйста если не трудно!!!
    Уже как-то объясняла. Прочитайте тему http://virusinfo.info/showthread.php?t=52751
    Последний раз редактировалось Aleksandra; 07.11.2009 в 07:19. Причина: Добавлено
    Наша служба, будто сердце, отдыха не знает никогда.

  12. #11
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26
    [QUOTE=Aleksandra;503134]Например, при лечении от вирусов сталкивалась с невозможностью отключить восстановление системы.


    Ну какими-то сборками я не пользуюсь.
    А по поводу SamLab: В интернете есть много программ (в том числе пиратских) и сборок Windows с припиской SamLab.ws - не верьте этому! Наш сайт делает только указанные http://samlab.ws/category/samsoft/ продукты без вареза!
    Последний раз редактировалось xooch; 07.11.2009 в 08:04.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Вы имеете какое-то отношение к Samlab?
    Наша служба, будто сердце, отдыха не знает никогда.

  14. #13
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Вы имеете какое-то отношение к Samlab?
    Ответ на этот вопрос не поможет вам в оказании мне помощи.

    Добавлено через 1 минуту

    Aleksandra, извените за нескромный вопрос: сколько Вам лет?
    Последний раз редактировалось xooch; 07.11.2009 в 07:42. Причина: Добавлено

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от xooch Посмотреть сообщение
    Ответ на этот вопрос не поможет вам в оказании мне помощи.
    Я ответила на все Ваши вопросы. Если Вы действительно имеете отношение к сайту который указали, то уберите первые два Информера с глупым утверждением.

    Цитата Сообщение от xooch Посмотреть сообщение
    Aleksandra, извените за нескромный вопрос: сколько Вам лет?
    Вы всем дамам такие вопросы задаете? Вопрос не только нескромный, но и неуместный. End of discussion.
    Наша служба, будто сердце, отдыха не знает никогда.

  16. #15
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26
    После перезагрузки появилось что-то новенькое:

    Функция NtCreateKey (29) перехвачена (8061A360->F735B0E0), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (8061ABA0->F7379DA4), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (8061AE0A->F737A132), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (8061B732->F735B0C0), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryKey (A0) перехвачена (8061BA58->F737A20A), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryValueKey (B1) перехвачена (80618598->F737A08A), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetValueKey (F7) перехвачена (806188E6->F737A29C), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Проверено функций: 284, перехвачено: 7, восстановлено: 7

    DAEMON Tools и Alcohol не позьзуюсь и не устанавливал!!!
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А по правилам лог сделать?

    В вашу сборку интегрирован драйвер эмулятора дисков sptd.sys, это его происки.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Это от эмулятора дисков... В первом логе AVZ, который Вы прикрепили его тоже видно.
    Наша служба, будто сердце, отдыха не знает никогда.

  19. #18
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26
    Цитата Сообщение от pig Посмотреть сообщение
    А по правилам лог сделать?

    В вашу сборку интегрирован драйвер эмулятора дисков sptd.sys, это его происки.
    А по поводу этого что вы скажите:

    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    CmpCallCallBacks = 00088FF6
    Disable callback - уже нейтирализованы
    Проверка IDT и SYSENTER завершена
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 82BA7500 -> перехватчик не определен

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Оттуда же.

  21. #20
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    26
    Сомнительно конечно.
    Спасибо за Помощь!!!

  • Уважаемый(ая) xooch, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 11.08.2011, 14:04
    2. Ответов: 7
      Последнее сообщение: 23.11.2010, 19:00
    3. Неизвестный перехватчик в ntfs потоках
      От prorock8 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2010, 12:45
    4. Ответов: 12
      Последнее сообщение: 22.02.2009, 04:48
    5. Перехват фунций \FileSystem\ntfs
      От maximus666 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.04.2008, 18:50

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00193 seconds with 21 queries