Показано с 1 по 8 из 8.

перехватчик не определен PID=0 и т.п. (заявка № 18760)

  1. #1
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    36

    Thumbs up перехватчик не определен PID=0 и т.п.

    Почти аналогичная проблема, как тут только перехвачено побольше.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    На Висте AVZ надо запускать правой кнопкой через "Запуск от имени..." Администратора!

    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\UDF.exe','');
     QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\JSUUDVNRS.exe','');
     QuarantineFile('C:\Users\Antharas\AppData\Local\Temp\OROE.exe','');
     DeleteFile('C:\Users\Antharas\AppData\Local\Temp\OROE.exe');
     DeleteFile('C:\Users\Antharas\AppData\Local\Temp\JSUUDVNRS.exe');
     DeleteFile('C:\Users\Antharas\AppData\Local\Temp\UDF.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и сделайте новый лог syscheck (п.10 правил).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    36
    Цитата Сообщение от Bratez Посмотреть сообщение
    На Висте AVZ надо запускать правой кнопкой через "Запуск от имени..." Администратора!
    Разумеется так и делал. Если бы без прав, то "Поиск маскировки процессов и драйверов" бы ничего не показал.

    JSUUDVNRS.exe UDF.exe OROE.exe - это модули утилиты SysInternals RootkitRevealer

    Кстати, если без прав админа запускать, то "Поиск маскировки процессов и драйверов"
    показывает такой кусок
    Код:
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 81A4F000
       SDT = 81B86B00
       KiST = 81B07970 (391)
    Функция NtAlertResumeThread (0D) перехвачена (81CE4757->86659390), перехватчик не определен
    Функция NtAlertThread (0E) перехвачена (81C49E59->86659450), перехватчик не определен
    Функция NtAllocateVirtualMemory (12) перехвачена (81C819B9->8667A2D0), перехватчик не определен
    Функция NtConnectPort (36) перехвачена (81C1B6F6->86713838), перехватчик не определен
    Функция NtCreateMutant (43) перехвачена (81C85AC8->8679C140), перехватчик не определен
    Функция NtCreateThread (4E) перехвачена (81CE2DD4->855C7C08), перехватчик не определен
    Функция NtFreeVirtualMemory (93) перехвачена (81AE0D17->866854C0), перехватчик не определен
    Функция NtImpersonateAnonymousToken (9C) перехвачена (81C0A20F->8679C210), перехватчик не определен
    Функция NtImpersonateThread (9E) перехвачена (81C1C829->85F89138), перехватчик не определен
    Функция NtMapViewOfSection (B1) перехвачена (81C73642->866794F0), перехватчик не определен
    Функция NtOpenEvent (B8) перехвачена (81C34FE3->867101B8), перехватчик не определен
    Функция NtOpenProcessToken (C3) перехвачена (81C5C1A5->8679D9F8), перехватчик не определен
    Функция NtOpenThreadToken (CA) перехвачена (81C5C97B->8664E500), перехватчик не определен
    Функция NtResumeThread (11A) перехвачена (81C5048A->86713A50), перехватчик не определен
    Функция NtSetContextThread (121) перехвачена (81CE3A9F->86635388), перехватчик не определен
    Функция NtSetInformationProcess (131) перехвачена (81C83575->86635448), перехватчик не определен
    Функция NtSetInformationThread (132) перехвачена (81C51A1A->8667A4C0), перехватчик не определен
    Функция NtSuspendProcess (14A) перехвачена (81CE4693->867100F8), перехватчик не определен
    Функция NtSuspendThread (14B) перехвачена (81CA16B8->8679D5F8), перехватчик не определен
    Функция NtTerminateProcess (14E) перехвачена (81C31E84->8679D2B0), перехватчик не определен
    Функция NtTerminateThread (14F) перехвачена (81C5E61D->8667A400), перехватчик не определен
    Функция NtUnmapViewOfSection (15C) перехвачена (81C73C99->86685400), перехватчик не определен
    Функция NtWriteVirtualMemory (166) перехвачена (81C5CB5D->866613A8), перехватчик не определен
    Проверено функций: 391, перехвачено: 23, восстановлено: 0
    (написал сюда, т.к. лога такого не запрашиваете, а он есть только без прав админа)

    спасибо за быстрый ответ
    Вложения Вложения
    Последний раз редактировалось HellFire; 27.02.2008 в 15:43.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Ну если действительно делали так, то я не знаю... Ничего подозрительного мне разглядеть не удалось, скорее всего "маскировки" в логах - это происки самой Висты, а AVZ пока не в состоянии дать более конкретную информацию.
    А что именно вас беспокоит в работе системы?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    36
    Цитата Сообщение от Bratez Посмотреть сообщение
    Ну если действительно делали так, то я не знаю... Ничего подозрительного мне разглядеть не удалось, скорее всего "маскировки" в логах - это происки самой Висты, а AVZ пока не в состоянии дать более конкретную информацию.

    А что именно вас беспокоит в работе системы?
    Это филосовский вопрос. По статусу работы - не люблю неизвестных процессов и непонятных сервисов.

    По поводу "что именно беспокоит" могу только рассказать предысторию. У меня два компьютера дома и на работе. Одинаковая виста, одинаковый софт. Но дома началось что-то слишком не приятное - стали тормозить все процессы связанные с музыкой и видео. Т.е. при просмотре/прослушивании музыки/видео и играх всё сопровождается "дёрганиями" звука. Банальный пример - открываем MS WMPlayer и любая музыка дёргается хуже чем пластинка.
    Начал удалять софт и проверять утилитами типа AVZ. Ничего не нашёл. Нашёл только странное - это "перехватчик не определен" в большом количестве. Удаление софта не помогло, его очень много. Поверхностное удаление не дало результатов. Только одно - Symantec Antivirus. После удаления качества звука улучшается. Не сильно, но заметно. Но до идеала не дотягивает.

    Почему сделал эту тему? Вчера я "добил" тормозной комп. Виста упала и не поднялась. Поставил временно вторую копию и ... не нашёл подобных перехватчиков. Буду ставить софт и смотреть после какого это появится. Но.. на втором компьютере такие же логи. Но проблем с лагами нет. Возможно просто конфигурация компьютера раза в два мощнее и комп справляется. Вторая причина почему начал эти раскопки и смотрю на любое подозрительное проявление - у нашего проекта разработчиков стали воровать информацию, вот мы сейчас проверяем сервера и свои компьютеры на предмет троянов и руткитов.

    Хорошо. Даже "ничего подозрительного", - это всё равно результат. Буду ставить опять полный набор софта, возможно найду причину.
    Спасибо.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Виста -сила
    лучше уж на XP или если хочется потрудиться - на линукс переходить

  8. #7
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    36
    Цитата Сообщение от drongo Посмотреть сообщение
    Виста -сила
    лучше уж на XP или если хочется потрудиться - на линукс переходить
    спасибо, я как-то полюбил маяться на MS уже много много лет. Со временем понимаю её как родную Но Висту, вместе 2008 офисом почему то не могу стерпеть. Мучаюсь, но работаю.

  9. #8
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    9
    Вес репутации
    36
    Методом полной переустановки ОС и установки софта по шагам, было выявлено что такие логи о перехвате больше 10 прерываний - последствия установки "Symantec Endpoint Protection". Аналогичные логи на WinXP/Vista.

  • Уважаемый(ая) HellFire, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Перехватчик не определен
      От bakemono в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.09.2010, 23:38
    2. перехватчик не определен
      От am80zx в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 04.08.2010, 21:28
    3. Перехватчик не определен...
      От Seignior в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.04.2009, 17:24
    4. Перехватчик не определен.
      От Longol в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.04.2009, 23:11
    5. перехватчик не определен
      От nafisi4 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.11.2008, 21:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00801 seconds with 17 queries