AVZ 4.30

[Макcим]

Конечно легче тыкнуть на прямую ссылку чем заморачиваться со всем остальным. Хотя я бы на месте Олега напрямую не отдавал, а только через скриптик который рекламу крутит

Ага, ещё и в AVZ встроить рекламный модуль.

[Rampant]

Я что то не понял, здесь обсуждение как скачать, или как работает новая версия?

[UFANych]

Люди не хотят качать что-то из P2P !! Большинство даже зеркала игнорирует - тащут по прямой ссылке файла и всего делов ...

Мне вот лень емула запускать, так как уже давно торрент основной клиент да и не надо это всё... ведь как происходит - скачал версию, кинул на СД и флэшку... а на месте так бывает, что забыл это всё где нибудь, зато инет есть - вот и идёшь на z-oleg за программой...

кстати, новый антируткит хочется потестить...

[Mad Scientist]

Странный лог...
Куча перехватов вида "\FileSystem\ntfs[IRP_MJ_CREATE] = 89DC84D0 -> перехватчик не определен"
и все не определены.

[Зайцев Олег]

Странный лог...
Куча перехватов вида "\FileSystem\ntfs[IRP_MJ_CREATE] = 89DC84D0 -> перехватчик не определен"
и все не определены.

Это эмулятор CD безобразничает, он в логе чуть выше. Хотя вот этот перехваты странные: \driver\disk[IRP_MJ_READ] = 89DC8788, такое в логах пока не попадалось

[vaber]

Ога!
Перехваты disk.sys - это от буткита . Советую проверить свежайшим CureIt!

[Зайцев Олег]

Ога!
Перехваты disk.sys - это от буткита . Советую проверить свежайшим CureIt!

Да - я тоже заинтересовался этими перехватами, похоже действительно последняя версия буткита (старая только два IRP перехватывала - он прогрессирует однако). У меня CD-эмулятор хукнул только IRP в NTFS ...

[vaber]

Вот интересно, а сколько реально ПК в мире им заражено? Что-то мне подсказывает - что не мало.

[Surfer]

Это дохтар вэб шалит вроде, с ирп и нтфс.

[Зайцев Олег]

Вот интересно, а сколько реально ПК в мире им заражено? Что-то мне подсказывает - что не мало.

Очень может быть - я сейчас свежий семпл стал искать, нашел 15 разновидностей этого буткита ... что наводит на соответствующие размышления

Добавлено через 8 минут

на свежепойманном бутките картина следующая:
\driver\disk[IRP_MJ_CREATE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = FFA4F896 -> перехватчик не определен
т.е. в отличие от вышеприведенного лога перехватчики размещаются по трем адресам, а не по одному, как в логе поста #24

[vaber]

Это дохтар вэб шалит вроде, с ирп и нтфс.

Не шалит.

Очень может быть - я сейчас свежий семпл стал искать, нашел 15 разновидностей этого буткита ... что наводит на соответствующие размышления

Добавлено через 8 минут

на свежепойманном бутките картина следующая:
\driver\disk[IRP_MJ_CREATE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = FFA4F896 -> перехватчик не определен

Угу -я вчера три сампла скачал и именно эту картину в лдоге и видел, поэтому сразу сделал вывод о нем

[Mad Scientist]

fixmbr в консоли восстановления Windows поможет?

[Биомеханик]

А это от чего? Может стоит справку составить?

\FileSystem\ntfs[IRP_MJ_CREATE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867DA1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 862ED500 -> перехватчик не определен

[vaber]

fixmbr должен помочь, но лучше скачать CureIt - он корректно лечит и гарантированно.

[Mad Scientist]

Помнится мне, в старых материнских платах была защита MBR - при попытке туда писать биос орал PC-спикером и спрашивал разрешать/запрещать...
Ок, сейчас попробую CureIt, тем более что это домашний компьютер, потом снова запущу AVZ посмотреть и сравнить логи, а после уже fixmbr если не поможет, спс.

[vaber]

Помнится мне, в старых материнских платах была защита MBR - при попытке туда писать биос орал PC-спикером и спрашивал разрешать/запрещать...
Ок, сейчас попробую CureIt, тем более что это домашний компьютер, потом снова запущу AVZ посмотреть и сравнить логи, а после уже fixmbr если не поможет, спс.

Попробуйте деинсталлировать эмулятор CD и прогнать еще раз AVZ. будут перехваты IRP обработчиков DISK.sys или нет...а то мало ли все же эмулятор виновен )
З.Ы. наверное рано я шум поднял по поводу буткита - все же действительно, скорее всего, это драйвер старого даемон тула хуки ставит...

[Alexey P.]

fixmbr должен помочь, но лучше скачать CureIt - он корректно лечит и гарантированно.

fixmbr (с загрузкой с виндового CD) поможет, но только для сектора на активном бутовом HDD.
На всех остальных доступных дисках MBR останется троянской и будет нуждаться в лечении. Т.е. есть прямой смысл не извращаться, а сразу пролечить CureIt.
Не пробовал подсовывать врагу флешки, но думаю, что ему пофигу, что это за диск, запишется и туда.

P.S. Читал, что троян якобы даже восстанавливался после fixmbr, но так и не понял, с какого перепугу и что для этого надо было проделать. Видимо, сменить загрузочный диск, но это точно редкий изврат.

[Mad Scientist]

CureIt 4.44.5 ничего не нашел, попробую анинсталлировать Алкоголь120%, повторно запущу AVZ, а так наверно мне в раздел помогите....
-----
Сейчас перепроверил - после запуска CureIt часть перехватов в логах AVZ пропадает до следущей перезагрузки (до этого я думал на WMWare)
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89D7CEB0 -> перехватчик не определен
Проверка завершена

[vaber]

fixmbr (с загрузкой с виндового CD) поможет, но только для сектора на активном бутовом HDD.

Угу - но этого достаточно, чтобы тело буткита не загрузилось в память. А mbr на других дисках в теории может вылечить тот антивирус, который стоит в системе.

CureIt 4.44.5 ничего не нашел, попробую анинсталлировать Алкоголь120%, повторно запущу AVZ, а так наверно мне в раздел помогите....

Угу, и после деинсталляции эмулятора CD лог AVZ сюда прикрепите.
З.Ы. Все же нужно в правила теперь добавлять обязательную деинсталляцию таких программ.

Добавлено через 2 минуты

Mad Scientist
Сделайте лог не запуская CureIt - перезагрузитесь, и после старта системы сделайте проверку AVZ, предварительно удалив даемон тул и алкоголь.

[UFANych]

Вот как раз попался перехватчик IRP. И не снялся... А я подумал, что будет...Пошто так? Почему нельзя снять такие перехваты?