Почти аналогичная проблема, как [URL="http://virusinfo.info/showthread.php?t=18509"]тут[/URL] только перехвачено побольше.
Printable View
Почти аналогичная проблема, как [URL="http://virusinfo.info/showthread.php?t=18509"]тут[/URL] только перехвачено побольше.
На Висте AVZ надо запускать правой кнопкой через "Запуск от имени..." Администратора!
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\UDF.exe','');
QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\JSUUDVNRS.exe','');
QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\OROE.exe','');
DeleteFile('C:\Users\Antharas\AppData\Local\Temp\OROE.exe');
DeleteFile('C:\Users\Antharas\AppData\Local\Temp\JSUUDVNRS.exe');
DeleteFile('C:\Users\Antharas\AppData\Local\Temp\UDF.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте новый лог syscheck (п.10 правил).
[QUOTE=Bratez;194036]На Висте AVZ надо запускать правой кнопкой через "Запуск от имени..." Администратора![/QUOTE]
Разумеется так и делал. Если бы без прав, то "Поиск маскировки процессов и драйверов" бы ничего не показал.
JSUUDVNRS.exe UDF.exe OROE.exe - это модули утилиты SysInternals RootkitRevealer
Кстати, если без прав админа запускать, то "Поиск маскировки процессов и драйверов"
показывает такой кусок
[CODE]
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 81A4F000
SDT = 81B86B00
KiST = 81B07970 (391)
Функция NtAlertResumeThread (0D) перехвачена (81CE4757->86659390), перехватчик не определен
Функция NtAlertThread (0E) перехвачена (81C49E59->86659450), перехватчик не определен
Функция NtAllocateVirtualMemory (12) перехвачена (81C819B9->8667A2D0), перехватчик не определен
Функция NtConnectPort (36) перехвачена (81C1B6F6->86713838), перехватчик не определен
Функция NtCreateMutant (43) перехвачена (81C85AC8->8679C140), перехватчик не определен
Функция NtCreateThread (4E) перехвачена (81CE2DD4->855C7C08), перехватчик не определен
Функция NtFreeVirtualMemory (93) перехвачена (81AE0D17->866854C0), перехватчик не определен
Функция NtImpersonateAnonymousToken (9C) перехвачена (81C0A20F->8679C210), перехватчик не определен
Функция NtImpersonateThread (9E) перехвачена (81C1C829->85F89138), перехватчик не определен
Функция NtMapViewOfSection (B1) перехвачена (81C73642->866794F0), перехватчик не определен
Функция NtOpenEvent (B8) перехвачена (81C34FE3->867101B8), перехватчик не определен
Функция NtOpenProcessToken (C3) перехвачена (81C5C1A5->8679D9F8), перехватчик не определен
Функция NtOpenThreadToken (CA) перехвачена (81C5C97B->8664E500), перехватчик не определен
Функция NtResumeThread (11A) перехвачена (81C5048A->86713A50), перехватчик не определен
Функция NtSetContextThread (121) перехвачена (81CE3A9F->86635388), перехватчик не определен
Функция NtSetInformationProcess (131) перехвачена (81C83575->86635448), перехватчик не определен
Функция NtSetInformationThread (132) перехвачена (81C51A1A->8667A4C0), перехватчик не определен
Функция NtSuspendProcess (14A) перехвачена (81CE4693->867100F8), перехватчик не определен
Функция NtSuspendThread (14B) перехвачена (81CA16B8->8679D5F8), перехватчик не определен
Функция NtTerminateProcess (14E) перехвачена (81C31E84->8679D2B0), перехватчик не определен
Функция NtTerminateThread (14F) перехвачена (81C5E61D->8667A400), перехватчик не определен
Функция NtUnmapViewOfSection (15C) перехвачена (81C73C99->86685400), перехватчик не определен
Функция NtWriteVirtualMemory (166) перехвачена (81C5CB5D->866613A8), перехватчик не определен
Проверено функций: 391, перехвачено: 23, восстановлено: 0
[/CODE]
(написал сюда, т.к. лога такого не запрашиваете, а он есть только без прав админа)
спасибо за быстрый ответ
Ну если действительно делали [b]так[/b], то я не знаю... Ничего подозрительного мне разглядеть не удалось, скорее всего "маскировки" в логах - это происки самой Висты, а AVZ пока не в состоянии дать более конкретную информацию.
А что именно вас беспокоит в работе системы?
[QUOTE=Bratez;194071]Ну если действительно делали [b]так[/b], то я не знаю... Ничего подозрительного мне разглядеть не удалось, скорее всего "маскировки" в логах - это происки самой Висты, а AVZ пока не в состоянии дать более конкретную информацию.
А что именно вас беспокоит в работе системы?[/QUOTE]
Это филосовский вопрос. :) По статусу работы - не люблю неизвестных процессов и непонятных сервисов.
По поводу "что именно беспокоит" могу только рассказать предысторию. У меня два компьютера дома и на работе. Одинаковая виста, одинаковый софт. Но дома началось что-то слишком не приятное - стали тормозить все процессы связанные с музыкой и видео. Т.е. при просмотре/прослушивании музыки/видео и играх всё сопровождается "дёрганиями" звука. Банальный пример - открываем MS WMPlayer и любая музыка дёргается хуже чем пластинка.
Начал удалять софт и проверять утилитами типа AVZ. Ничего не нашёл. Нашёл только странное - это "перехватчик не определен" в большом количестве. Удаление софта не помогло, его очень много. Поверхностное удаление не дало результатов. Только одно - Symantec Antivirus. После удаления качества звука улучшается. Не сильно, но заметно. Но до идеала не дотягивает.
Почему сделал эту тему? Вчера я "добил" тормозной комп. Виста упала и не поднялась. Поставил временно вторую копию и ... не нашёл подобных перехватчиков. Буду ставить софт и смотреть после какого это появится. Но.. на втором компьютере такие же логи. Но проблем с лагами нет. Возможно просто конфигурация компьютера раза в два мощнее и комп справляется. Вторая причина почему начал эти раскопки и смотрю на любое подозрительное проявление - у нашего проекта разработчиков стали воровать информацию, вот мы сейчас проверяем сервера и свои компьютеры на предмет троянов и руткитов.
Хорошо. Даже "ничего подозрительного", - это всё равно результат. Буду ставить опять полный набор софта, возможно найду причину.
Спасибо. :)
Виста -сила :)
лучше уж на XP или если хочется потрудиться - на линукс переходить ;)
[QUOTE=drongo;194133]Виста -сила :)
лучше уж на XP или если хочется потрудиться - на линукс переходить ;)[/QUOTE]спасибо, я как-то полюбил маяться на MS уже много много лет. Со временем понимаю её как родную :) Но Висту, вместе 2008 офисом почему то не могу стерпеть. Мучаюсь, но работаю.
:D
Методом полной переустановки ОС и установки софта по шагам, было выявлено что такие логи о перехвате больше 10 прерываний - последствия установки "Symantec Endpoint Protection". Аналогичные логи на WinXP/Vista.