Здравствуйте. Недавно скачал AVZ. При проверки он нашёл перехватчики и др., в основном это были файлы антивируса и файрволла. Но было ещё кое-что, непонятное для меня. Например, в пункте 1.1 были строчки, подобные этой:

Функция kernel32.dll:CreateProcessA (99) перехвачена, метод CodeHijack (метод не определен)
и в пункте 1.5 строчки, подобные этой:

\FileSystem\ntfs[IRP_MJ_CREATE] = 8A7CB1F8 -> перехватчик не определен
Я сначала решил что это всё антивирус и файрволл, но сегодня решил это проверить. Деинсталлировал их, а заодно и эмулятор привода диска. Запустил проверку и увидел, что появилось ещё что-то совсем мне непонятное :O В пункте 1.2, где раньше были файлы антивируса и файрволла, появились сообщения о перехватчике ****.sys. Что это за файл и где он находится я не смог выяснить, причём название его при последующих проверках меняется. Также я не пойму что вот это за файл в пункте 3:

Прямое чтение H:\WINDOWS\system32\drivers\sptd.sys
Помогите разобраться, а то у меня такое чувство появилось, что в системе какой-то тщательно скрывающийся от меня и антивируса руткит :scratch_one-s_head:
Прилаживаю в этом сообщении логи с установленными антивирусом и файрволлом:

А вот логи с деинсталлированными антивирусом, файрволлом и эмулятором привода диска. Также прошу помочь разобраться с другими пунктами :)
2.

Анализатор - изучается процесс 380 *:\WINDOWS\system32\PnkBstrA.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
что это означает? оно может отправлять какие-то письма без моего ведома?
3.

*:\Program Files\ATI Technologies\ATI.ACE\Graphics-Previews-Common\MMACEPrev.exe >>> подозрение на Trojan.Win32.Vapsup.lvd ( 0069AF23 08CD5FC5 001E12A2 001C7B21 102400)
я качал дрова с оффсайта - вряд ли это троян:wacko2:

*:\Program Files\OpenOffice.org 3\program\unopkg.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
что это :O ?
8.

>> Безопасность: к ПК разрешен доступ анонимного пользователя
это служба какая-то? какая и нужно ли её отключать?
:huh:

Достаточно было антивирус отключить :)Но вы сделали больше, что похвально. Может в правила впишем ваше предложение со ссылкой на вас, как рационализатора :)
отвечаю по вашим пунктам:
1- sptd.sys - от эмулятора дисков- собственно это руткит, только с хорошими намерияними,то есть эмулирует диск, когда его нет физически.эмулятор привода диска-не сдаётся просто так :) всё равно я вижу его следы в логах.
2 PnkBstrA.exe
- этот файл от онлайн игр против читеров, то есть если тяжёлыми играми в оналайн не играете, то можно избавиться от него. Не думаю что он почту шлёт, возможно теоретически и может, можно
Олега спросить, если очень интересно. (запакуйте его как полагается и напишите письмо Олегу Зайцеву)
3. MMACEPrev.exe- часть кода похоже, вот и сообщает. Опять же, письмо к Олегу, в теме указать false positive, проверьте пожалуйста;)
unopkg.com - PE файл с измененным расширением, допускающим запуск-
.тут даже перевода не надо. файл с расширением com действительно исполняемый файл, а что вас тут удивило?

8.нет, это не служба, это параметр в реестре. По умолчанию в виндоус
к ПК разрешен доступ анонимного пользователя.
Отключать или нет- это смотря по обстоятельствам. Безопасней отключить. Если один компьютер, то с закрытыми глазами отключать.(Насчёт глаз я образно:лучше проводить любые действия с открытыми глазами, а то можно не то отключить :0). Если у вас десяток компьютеров соединенные в сеть, то легче оставить, но безопаснее отключить и настроить так чтобы друг друга видели, а чужие анонимки нет.

Я удовлетворил ваше любопытство? Теперь и вы моё удовлетворите, несколько файлов хотелось бы чтобы вы прислали.
Для этого нужно вам выполнить скрипт в avz:


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll','');
QuarantineFile('H:\WINDOWS\system32\linkdel.cmd',' ');
QuarantineFile('H:\Program Files\ATI Technologies\ATI.ACE\Graphics-Previews-Common\MMACEPrev.exe','');
QuarantineFile('H:\WINDOWS\system32\DRIVERS\rspndr .sys','');
QuarantineFile('H:\Program Files\ATI Technologies\ATI.ACE\Branding\Branding.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.


карантин прислать по ссылке http://virusinfo.info/upload_virus.php?tid=35120

Да, я решил деинсталлировать всё что явно могло, на сколько я понимаю, обнаруживаться AVZ. Но я всё таки хотел бы узнать, что он находит после деинсталляции этого всего. Я имею ввиду эти 7 функций KiST, где перехватчик какой-то файл, с изменяющимся каждый раз именем. То spzj.sys, то spmm.sys, то spxi.sys или ещё как. Месторасположение его не указано, просто написан этот файл и всё. И что значит "перехватчик не определен" - это нормально? По остальному я понял, службу PnkBstrA отключил, файл удалил вроде (оно мне действительно не надо :D ). А скажите, пожалуйста, путь до этого параметра в реестре, и как этот параметр изменить, чтоб не было доступа анонимного пользователя.
Файл linkdel.cmd в авторане. Зачем не знаю, но в его описании написано что это "Командный сценарий Windowd NT". Скрипт выполнил, карантин отправил.

В присланном Вами файле не найдено ничего вредоносного.

Спасибо! Извините за эти вопросы, пожалуйста :sorry: Лень было поиском пользоваться :wacko: :mda: Всё нашёл. Вообще можно тему "ф топку", так как автор не воспользовался поиском перед её созданием :hang3:

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 15
В ходе лечения вредоносные программы в карантинах не обнаружены