странное сообщение avz

Printable View

08.03.2006, 01:34
dal1

странное сообщение avz

Здравствуйте!

Проверил (первый раз) свою систему avz, в принципе , ничего опасного не нашлость кроме следующего:

Функция ZwConnectPort (1F) перехвачена (80590820->8A15CC30), перехватчик не определен

Напугала меня эта строчка, особенно в сочетании с названием функции.;-)
Может ли это быть признаком активности трояна?

Система - WinXp Rus Prof SP2, обновления ставлю регулярно, ативирус-AVP, firewall - NDIS
08.03.2006, 09:01
Зайцев Олег

[QUOTE]Функция ZwConnectPort (1F) перехвачена (80590820->8A15CC30), перехватчик не определен[/QUOTE]
Побобный перехват периодически фиксируется, это скорее всего проделки Firewall. Но для надежности стоит приложить логи согласно правилам - может, удастся вычислить перехватчик.
08.03.2006, 12:47
orvman

[QUOTE]firewall - NDIS[/QUOTE] ???
Может это ZA?
08.03.2006, 17:03
SDA

Пример на своем логе: Функция ZwClose (19) перехвачена (80566B49->BADD00B0), перехватчик C:\WINDOWS\system32\Drivers\klif.sys
Функция ZwConnectPort (1F) перехвачена (805894AD->BAEBEC90), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция ZwCreateFile (25) перехвачена (80570D48->BAEBBB70), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция ZwCreateKey (29) перехвачена (8056E761->BAED4944), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция ZwCreateProcess (2F) перехвачена (805AD314->BAED3760), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция ZwCreateProcessEx (30) перехвачена (8058041A->BAED3980), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция ZwCreateSection (32) перехвачена (8056441B->BAED6610), перехватчик C:\WINDOWS\System32\vsdatant.sys
orvman ты угадал - это работа ZA :)
09.03.2006, 02:38
orvman

[B]SDA[/B], Спасибо тебе, родной. [QUOTE]orvman ты угадал - это работа ZA [/QUOTE] - я не телепат правда, я только учусь, видать успехи делаю. Скоро уже через протокол TCP и усиленными ударами головой об стену научюсь удаленно определять железо на машине и запущенные процессы без всяких там логов и подробностей :) :) :)
P.S. Кто понял - тот понял.
P.P.S. А Вы говорите - логи, логи. Кому они нужны, логи???
10.03.2006, 02:15
dal1

Прошу извинить, если что не так ;-) Просто хотелось сначала узнать, возможно ли такое в принципе.

firewall - NIS (Norton Internet Security)

Kliff.sys у меня тоже ловится, но не напряг, т.к. я выяснил, что он к AVP относится.

Теперь ясно, что это сообщение к файерволу относится.

Спасибо!