Проверка обработчиков IRP

Printable View

01.04.2009, 14:13
Antario

Вложений: 5

Проверка обработчиков IRP

Здравствуйте!
После проверки компьютера [COLOR=black][FONT=MS Sans Serif]антивирусной утилитой AVZ версии 4.30 был выведен протокол, по которому у меня возникли вопросы.[/FONT][/COLOR]

[COLOR=black][FONT=MS Sans Serif]1) В пункте [COLOR=black][FONT=MS Sans Serif]1.5 Проверка обработчиков IRP указывается несколько строк с записью (полный протокол прилагается):[/FONT][/COLOR]
[COLOR=red][FONT=MS Sans Serif][COLOR=black]\FileSystem\ntfs[IRP_MJ_CREATE] = 8A4F11F8 -> перехватчик не определен[/COLOR][/FONT][/COLOR]
[COLOR=red][FONT=MS Sans Serif][COLOR=black]...[/COLOR][/FONT][/COLOR]
[COLOR=red][FONT=MS Sans Serif][COLOR=black]2) В пункте [COLOR=black][FONT=MS Sans Serif]7. Эвристичеcкая проверка системы появилось сообщение: [/FONT][/COLOR]
[COLOR=black][FONT=MS Sans Serif][COLOR=black][FONT=MS Sans Serif]Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "0,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"[/FONT][/COLOR]

[COLOR=black][FONT=MS Sans Serif]3) В пункте [COLOR=black][FONT=MS Sans Serif]8. Поиск потенциальных уязвимостей указано:[/FONT][/COLOR]
[COLOR=black][FONT=MS Sans Serif]>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)[/FONT][/COLOR]
[COLOR=black][FONT=MS Sans Serif]>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)[/FONT][/COLOR]
[COLOR=black][FONT=MS Sans Serif]>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)[/FONT][/COLOR]
[COLOR=black][FONT=MS Sans Serif]>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)[/FONT][/COLOR]
[COLOR=black][FONT=MS Sans Serif]>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)[/FONT][/COLOR]
[COLOR=black][FONT=MS Sans Serif]>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)[/FONT][/COLOR]
[COLOR=black][FONT=MS Sans Serif]>> Безопасность: к ПК разрешен доступ анонимного пользователя[/FONT][/COLOR]

[COLOR=black][FONT=MS Sans Serif]Я работаю на домашнем компьютере с подключением к городской локальной сети. Какую из этих рекомендаций можно безопасно выполнить? И как это сделать?[/FONT][/COLOR]

[COLOR=black][FONT=MS Sans Serif]Спасибо.[/FONT][/COLOR][/FONT][/COLOR]
[/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/COLOR]
01.04.2009, 15:22
AndreyKa

Поищите в AVZ на диске С файл:
0.*
01.04.2009, 15:27
Bratez

1. Тут ничего подозрительного.

2. Запустите regedit, раскройте подраздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
откройте параметр [I]AppInit_DLLs [/I]и удалите оттуда два первых символа: [B][COLOR="SeaGreen"]0,[/COLOR][/B]

3. Можно безопасно отключить все перечисленное, но со следующими оговорками: а) от Планировщика зависит работа prefetch; б) от анонимного доступа зависит удобство при расшаривании ваших папок в локалке, если его запретить то придется прописывать разрешения пользователям поименно.
Отключить можно скриптом:
[CODE]begin
[COLOR="seagreen"]RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);[/COLOR]
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
[COLOR="RoyalBlue"]SetServiceStart('Schedule', 4);[/COLOR]
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/CODE]
Анонимный доступ зеленым, Планировщик синим, если что - уберите сами.
01.04.2009, 17:03
Antario

[quote=Bratez;381076]1. Тут ничего подозрительного...[/quote]

СПАСИБО!
01.04.2009, 17:10
Antario

[quote=AndreyKa;381072]Поищите в AVZ на диске С файл:
0.*[/quote]

Да, нашел некоторое количество таких файлов. Добавил вложением.
01.04.2009, 17:16
Bratez

Карантин нельзя прикреплять к теме!
Надо загружать по красной ссылке вверху страницы.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

В вашем архиве ничего подозрительного нет, и вообще нет исполняемых файлов, так что можно и не загружать.
02.04.2009, 12:10
Antario

[quote=Bratez;381152]В вашем архиве ничего подозрительного нет, и вообще нет исполняемых файлов, так что можно и не загружать.[/quote]

СПАСИБО.