AVZ - перехватчик не определен. А как определить?

AVZ находит перехваченные функции в KernelMode, но пишет что-то в этом роде: "Функция NtCreateThread (35) перехвачена (8057C4A1->F7DFE4B4), перехватчик не определен" Если полечить(блокировкой руткитов), то благополучно все исправляется. Но потом после перезагрузки функции опять прехвачены. Создание протокола исследования системы не помогло - до и после лечения список загруженных модулей один и тот же, и после перезагрузки тоже. Есть какой-нибудь способ найти кто перехватывает, кроме как методом тыка или копания в отладчиках? З.Ы. Уверен, что это не трояны и не руткиты, а какая-то нормальная прога, но вопрос принципа, хочется все-таки определить кто в моем компе функции ядра перехватывает. =)

Нет ничего проще - нужно сделать логи согласно правилам и приложить их сюда

Правила читал, там надо автоматическое лечение делать. Как я понимаю там полное сканирование диска запустится. Это имхо слишком. Просто думал может есть какая-нибудь еще утилита, которая сама напишет, какие функции кем перехвачены.
Я сделал протокол до и после "блокировки руткитов".
И причину кстати нашел, это был Avira Antivir, функции перехватывались почему-то при загрузке его планировщика.

У меня к Вам еще вопрос: Можно где-нибудь скачать англоязычную версию AVZ 4.27? С сайта качается 4.25.

И еще. Можно как-нибудь настроить какие службы и модули будут показаны в протоколе. Например написано "Обнаружено модулей - 119, опознано как безопасные - 115". Как сделать чтобы безопасные тоже были добавлены?

уже об этом говорилось, 4.27 английской не будет, будет 4.28 мултиязычная .
Протокол специально так сделан, чтобы удобнее было читать хелперам. А что мешает посмотреть так сервис->меменджеры внедрённых длл и тд ...?

[quote=drongo;141924]уже об этом говорилось, 4.27 английской не будет, будет 4.28 мултиязычная .
Протокол специально так сделан, чтобы удобнее было читать хелперам. А что мешает посмотреть так сервис->меменджеры внедрённых длл и тд ...?[/quote]

чтобы удобнее отслеживать изменения в системе. Допустим сделал протокол, потом запустил прогу и снова протокол собрал. А затем например сравнил два xml файла и вывел изменения. То есть по аналогии со всякими анинсталлерами.

[quote=Brutal;142057]чтобы удобнее отслеживать изменения в системе. Допустим сделал протокол, потом запустил прогу и снова протокол собрал. А затем например сравнил два xml файла и вывел изменения. То есть по аналогии со всякими анинсталлерами.[/quote]
В исследовании системы AVZ есть настройка - выводить только по неопознанным или все до кучи. В 4.28 будет возможность из скрипта выхвать исследование, детально контролируя, что конкретно и как полно помещать в XML и HTML отчеты

[quote=Зайцев Олег;142058]В исследовании системы AVZ есть настройка - выводить только по неопознанным или все до кучи. В 4.28 будет возможность из скрипта выхвать исследование, детально контролируя, что конкретно и как полно помещать в XML и HTML отчеты[/quote]

Спасибо. Действительно я просмотрел. Есть настройка - "Исключить из протокола файлы, опознанные как безопасные". =) Вцелом очень удобная и актуальная программа! ИМХО надо добавить ее в 100 лучших программ 2007 года. =) А нельзя случайно вручную добавить новые базы в английскую 4.25 версию? Проблема в том, что на некоторых зараженных компах возникают проблемы с локалью или шрифтами, и определенные диалоги в русской версии вместо букв крякозяблы выводят. Не то чтобы это была большая проблема, но несколько затрудняет работу.

ssmdrv.sys - вполне возможно что перехваты от него (Avira)

[quote=PavelA;142343]ssmdrv.sys - вполне возможно что перехваты от него (Avira)[/quote]

возможно. Либо от него, либо(мне кажется даже вероятнее) от avipbb.sys. Но прикол в том, что когда службы авиры(которые кстати запускаются отдельными процессами) не загружены, то и перехватов тоже нет. В этом и была сложность определения перехватчиков - хуки почему-то включались после загрузки sched.exe, которая есть в базе безопасных.

Кстати сейчас посмотрел в processexplorer: sched.exe обращается к драйверу avipbb.sys, а к ssmdrv.sys не обращается, так что почти наверняка виновен именно avipbb.sys. =) Эх, было бы время, тряхнул бы стариной и оттрейсил [B][B]NtCreateThread.[/B][/B]

Значит я не угадал :(