\FileSystem\ntfs (и так далее) -> перехватчик не определен
Доброго времени суток, уважаемые специалисты.
Обращаюсь к Вам за помощью.
1) Вот, одна из строк сообщения которое выдал мне АВЗ, хотелось бы разобраться что и по чем... \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8559A1E8 -> перехватчик не определен - ЭТО ГЛАВНАЯ ПРИЧИНА ПО КОТОРОЙ Я К ВАМ ОБРАТИЛСЯ. Согласитесь, сообщение настораживающее.
2) После сканирования АВЗ сообщил о подозрении на троян в 3-х файлах. Они мне не нужны и я могу удалить их обычным способом, либо
способом который Вы подскажете.
3) Уже довольно продолжительный период KAV 6 выдает сообщение о том, что C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HelpSvc.exe постоянно пытается изменить в реестре какие-то данные (увы, не могу найти txt в котором сохранил данные о том куда именно ломится этот файл Но если нужно то при следующей попытке изменить данные, обязательно запишу...), причем просит это до тех пор пока не разрешишь. То есть, если "ЗАПРЕТИТЬ", то он (KAV) будет доставать сообщением о попытке изменить данные до бесконечности...
Заранее благодарю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пока так: на время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\amdfix.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Время есть, по карантину: C:\rmconverter.exe - not-a-virus: Downloader.Win32.WinFixer.fs (по классификации Касперского). По остальному - пока ждем ответа.
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 855981E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 867631E8 -> перехватчик не определен
Проверка завершена
Если я правильно понимаю, ждем анализа amdfix.sys и xinstall.sys?
================================================== ==========================
Девять вечера, снова АнтВирКасп 6 выдает сообщение о попытке C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HelpSvc.exe пробиться в реестр.
На этот раз я сохранил полный текст сообщения:
Перехвачена попытка записи значения в ключе системного реестра, который входит в группу System Startup. Эти ключи контролируют состав модулей, загружаемых при запуске Microsoft Windows.
Рекомендуется разрешить доступ к этим настройкам только в том случае, если вы хотите, чтобы эта программа запускалась автоматически при включении компьютера. В остальных случаях рекомендуется запретить доступ.
Доброго времени суток.
Провел собственное исследование и обнаружил, что файл xinstall.sys
скорее всего относиться к программе Ulead GIF Animator 5
Почему, по 2-м причинам.
1) В папке этой программы есть файл с похожим названием xinstall.ini
вот его содержимое:
[xinstall]
retries=3
buy=http://www.buyonet.com/s/u?id=4.53.48&page=xlok_big_shopping_cart&shopping_ cart=0001-8894|1&design=ulead_design
timeout=10
wait=60
pop=1
web=http://www.ulead.com
naglogo=nag.bmp
logo=activation.bmp
note=Please Note: Following your purchase, the program will register this information the first time you start it. The program will convert into the full version the second time the program is started.
notetitle=Ulead
2) На другом компе где установлена эта прога при проверке АВЗ так же выскакивает сообщение о НЕОПРЕДЕЛЕННОМ ПЕРЕХВАТЧИКЕ...
Может быть совпадение, а может и нет.
Хотел деинсталировать прогу и проверить, что получится, но не вышло.
При деинсталяции с помощью "Установка и удаление программ" прога выдает сообщение о не возможности переустановки по причине уже установленной версии программы. Странно, я же не переустановить пытаюсь, а удалить! А в ручну не получается, потому как отсутствует фай UnInst.exe, UnInst.ini, Unvise или любые подобные...
Жду ответа...
Еще (думаю последний) раз прошу кого нибудь из хелперов, обратить внимание на этот пост и хоть что нибудь (желательно по теме) ответить.
Я понимаю, что у вас и без меня хватает забот. В таком случае, дайте знать, хотя бы о том, что ответа ждать нет смысла.......
Думаю это будет почеловечески.
FileSystem\ntfs[IRP_MJ_CREATE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 855981E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 867631E8 -> перехватчик не определен
Доброго времени суток.
1) Скрипт выполнил
2) Логи отправил
С главной проблемой разобрались, а что на счет второстепенной?
Девять вечера, снова АнтВирКасп 6 выдает сообщение о попытке C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HelpSvc.exe пробиться в реестр.
На этот раз я сохранил полный текст сообщения:
Перехвачена попытка записи значения в ключе системного реестра, который входит в группу System Startup. Эти ключи контролируют состав модулей, загружаемых при запуске Microsoft Windows.
Рекомендуется разрешить доступ к этим настройкам только в том случае, если вы хотите, чтобы эта программа запускалась автоматически при включении компьютера. В остальных случаях рекомендуется запретить доступ.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: