AVZ - "Перехватчик не определен"

**sergius** · 22.01.2011, 04:37

Здравствуйте.

Давно уже перестал читать полностью протокол проверки AVZ, обращаю лишь внимание на "выводы": "...найдено вредоносных программ 0, подозрений - 0...".

Несколько дней назад решил всё-таки прочесть отчёт и увидел относительно большое количество записей "перехватчик не определен" в разделе 1.5 протокола AVZ ("Проверка обработчиков IRP"). Емнип, раньше на моей машине такого не было. Смущает вот что - в протоколе написано, что "подозрений - 0" и в то же время - "перехватчик не определён"! Я правильно понимаю, что эти перехватчики вполне могут оказаться руткитами? Тогда, имхо, AVZ может ввести в заблуждение тех людей, которые не могут разобраться в протоколе и читают лишь "резюме" выполненной проверки.

Сделал логи, очень расчитываю на советы более опытных людей.

Кстати, есть несколько моментов.

1) При выполнении "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" был подключен внешний жесткий диск. Также в трее сидела иконка софта ИПБ (емнип, процесс apcsystray.exe). Данный софт невозможно "закрыть" стандартными способами (Alt+F4, нажатие на крестик), эти действия лишь сворачивают приложение в трей. Помогает лишь убивание процесса в диспетчере задач. Нужно ли было убить этот процесс перед созданием логов?

2) У меня в системе, помимо IE, установлен Firefox. Во время выполнения скриптов был запущен именно FF. Это никак не влияет на результат? (IE пользуюсь редко)

3) В пунктах 2 и 3 раздела "Диагностика" (http://virusinfo.info/pravila.html) не оговорено - нужно ли после перезагрузки опять выгружать антивирус и фаерволл, выходя в инет без защиты. Я не решился выходить в сеть без фаерволла и выполнял пункты 2 и 3 с обычным для меня количеством запущенных приложений. Эти действия были ошибочны?

Если я допустил ошибки при создании логов, то нужно ли мне их "переделать"? Или ошибки не критичны?

Спасибо. Очень расчитываю на ваши рекомендации.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 22.01.2011, 07:08

Вы все сделали правильно.

В логах ничего подозрительного не видно.
Перехваты от Касперского и Аутпоста.

Вот единственное - проверьте, что там за авторан:

>>> P:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

**sergius** · 22.01.2011, 12:46

Большое спасибо Вам за помощь!

"P:\autorun.inf" - чист, я сам его написал (он нужен лишь для отображения иконки, никаких экзешников он не запускает). Вот весь его код:

Код:

[autorun]
ICON=WD.ICO

С одной стороны очень рад, что машина оказалась чистой, с другой - не совсем понятна ситуация с "перехватчик не определен". Будьте добры, подскажите, почему AVZ не может определить перехватчик (или где можно об этом почитать, а то сам я ничего путного по теме не нагуглил)? И второй вопрос - можно ли теперь всегда игнорировать сообщения "перехватчик не определен" в логе AVZ и ориентироваться лишь на выводы программы ("...найдено вредоносных программ 0, подозрений - 0..."), не читая весь остальной лог? Вдруг, в будущем, "неопределённый перехватчик" окажется зловредом...