-
перехватчики
[COLOR=red][FONT="][COLOR=Black]Это повторяется при каждом запуске avz. Что с этим делать?[/COLOR]
[/FONT][/COLOR]
[COLOR=red][FONT="]
[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtCreateKey (29) перехвачена (8056E9A9->F86150E0), перехватчик spxl.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtEnumerateKey (47) перехвачена (8056F0B0->F8633CA2), перехватчик spxl.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtEnumerateValueKey (49) перехвачена (8057EBEF->F8634030), перехватчик spxl.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtOpenKey (77) перехвачена (80567EFB->F86150C0), перехватчик spxl.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtQueryKey (A0) перехвачена (8056EDB9->F8634108), перехватчик spxl.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtQueryValueKey (B1) перехвачена (8056B303->F8633F88), перехватчик spxl.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtSetValueKey (F7) перехвачена (8057516D->F863419A), перехватчик spxl.sys[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_CREATE] = 82FDB1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_CLOSE] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_WRITE] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_SET_EA] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_PNP] = 82FDB1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_CREATE] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_CLOSE] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_WRITE] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_SET_EA] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8236D500 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8236D500 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8236D500 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\FastFat[IRP_MJ_PNP] = 8236D500 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR]
-
Выкладывайте полный комплект логов - вместе подумаем :)
-
Вложений: 4
-
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: vjwjsquP - {C4A9BDD1-CD85-4398-A370-C2C53E1C70EA} - (no file)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kddli.exe','');
QuarantineFile('digiwet.dll','');
QuarantineFile('crypts.dll','');
DeleteFile('crypts.dll');
DeleteFile('digiwet.dll');
DeleteFile('kddli.exe');
ExecuteSysClean;
BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=45942[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
[size="1"][color="#666686"][B][I]Добавлено через 44 секунды[/I][/B][/color][/size]
[QUOTE][COLOR="Red"]перехватчик spxl.sys[/COLOR][/QUOTE]
sp??.sys - это от эмулятора CD.
-
Вложений: 2
все сделал, в карантине было пусто. Несколько дней инет не работал. Сегодня скачал новый avz, обновил и выполнил скрипты (первые 4). Теперь карантин не пуст.
-
Признаков заражения в логах не видно.
-
перехватчики
[COLOR=red][FONT="][SIZE=3][B][COLOR=Black]А что с этими делать все-таки:[/COLOR][/B][/SIZE]
[/FONT][/COLOR]
[COLOR=red][FONT="]
[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtCreateKey (29) перехвачена (8056E9A9->F86150E0), перехватчик spfh.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtEnumerateKey (47) перехвачена (8056F0B0->F8633CA2), перехватчик spfh.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtEnumerateValueKey (49) перехвачена (8057EBEF->F8634030), перехватчик spfh.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtOpenKey (77) перехвачена (80567EFB->F86150C0), перехватчик spfh.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtQueryKey (A0) перехвачена (8056EDB9->F8634108), перехватчик spfh.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtQueryValueKey (B1) перехвачена (8056B303->F8633F88), перехватчик spfh.sys[/FONT][/COLOR]
[COLOR=red][FONT="]Функция NtSetValueKey (F7) перехвачена (8057516D->F863419A), перехватчик spfh.sys[/FONT][/COLOR]
[COLOR=black] [/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_CREATE] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_CLOSE] = 82FDC1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_WRITE] = 82FDC1F8 -> перехватчик не определен[/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_SET_EA] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
[COLOR=red][FONT="]\FileSystem\ntfs[IRP_MJ_PNP] = 82FDC1F8 -> [/FONT][/COLOR][COLOR=red][FONT="]перехватчик[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]не[/FONT][/COLOR][COLOR=red][FONT="] [/FONT][/COLOR][COLOR=red][FONT="]определен[/FONT][/COLOR][COLOR=red][FONT="][/FONT][/COLOR]
-
Перехваты от эмулятора дисков...
Page generated in 0.01484 seconds with 10 queries