Перехват Nt* функций по адресу F7CC06xx

[orion]

Собственно сабж. Значит, все медленнее и медленнее стал работать интернет.

Решил провериться... а тут такое.

NtCreateKey" FIndx="41" HookPtr="F7CC06C6" HookType="1"
и далее 20 раз по разным Nt функциям все типа перехвачены...

Ну я как положено процедуру лечения. Каспер поубивал много. Потом АВЗ даже рапортовал что, убил перехватчики, но сбор данных в конце с запущенным эксплорером показал, что перехват остался.

[Bratez]

Пофиксите в HijackThis:

Код:

O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll (file missing)
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|x


Выполните скрипт в AVZ:

Код:

begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('RemoteRegistry', 4);
DeleteService('xhhoo');
DeleteFileMask('C:\Documents and Settings\ORION & TOTO\Local Settings\Temp', '*.*',true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Перехваты могут осуществляться и легитимными программами, так что это не говорит о наличии заразы.

[orion]

сделал логи

...

ай... блин... сорри дико! я что-то второпях, сгоряча сделал диагностический пункт 1, 2, 3 ...

смущает то что АВЗ активно лечит и восстанавливает перехваты, но потом они опять появляются... следуя логике - полезные перехваты он бы не лечил...

[Bratez]

смущает то что АВЗ активно лечит и восстанавливает перехваты, но потом они опять появляются... следуя логике - полезные перехваты он бы не лечил...

Логика тут другая: AVZ перехваты не "лечит", а снимает (временно). Полезные они или вредные - решать нам с вами, а не программе. Так что здесь все нормально.

В логах ничего зловредного не просматривается.
Замечания такие:

1. Видны процессы двух антивирусов - Avira и Nod32, непорядок, должен быть только один.

2.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Рекомендуется установить SP3 и последующие обновления.
IE8 тоже поставьте, даже если используете другой браузер.

3. Radmin сами ставили, используете? Если нет - удалите.

[orion]

0. Спасибо за пояснения.
1. Хорошо - удалим.
2. Хорошо - "накатим". Конечно другой, сделаем....
3. Сам. Нет, не удалю! :-) Нужен по работе контролировать удаленно,
хотя во внутренней сетке он ничего не видит... там во внутренней сети вообще ничего не видно...

Добавлено через 2 минуты

Не я все таки хочу посмотреть кто занимается перехватом. Вот есть адрес HookPtr="F7CC06C6". Как посмотреть, кто это?