\FileSystem\ntfs (и так далее) -> перехватчик не определен

[alex_prog]

Доброго времени суток, уважаемые специалисты.
Обращаюсь к Вам за помощью.

1) Вот, одна из строк сообщения которое выдал мне АВЗ, хотелось бы разобраться что и по чем...
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8559A1E8 -> перехватчик не определен - ЭТО ГЛАВНАЯ ПРИЧИНА ПО КОТОРОЙ Я К ВАМ ОБРАТИЛСЯ. Согласитесь, сообщение настораживающее.

2) После сканирования АВЗ сообщил о подозрении на троян в 3-х файлах. Они мне не нужны и я могу удалить их обычным способом, либо
способом который Вы подскажете.

3) Уже довольно продолжительный период KAV 6 выдает сообщение о том, что C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HelpSvc.exe постоянно пытается изменить в реестре какие-то данные (увы, не могу найти txt в котором сохранил данные о том куда именно ломится этот файл Но если нужно то при следующей попытке изменить данные, обязательно запишу...), причем просит это до тех пор пока не разрешишь. То есть, если "ЗАПРЕТИТЬ", то он (KAV) будет доставать сообщением о попытке изменить данные до бесконечности...

Заранее благодарю.

[Numb]

Пока так: на время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\amdfix.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=21184 , как написано в прил.3 правил.

[alex_prog]

1) Выполнил скрипт
2) Проверил на наличие в карантине файлов amdfix.sys и xinstall.sys
3) Отправил карантин по указанной ссылке

Жду...

P.S. Информация на всякий случай...
После создания логов, я вновь включил восстановление системы (Только на C:\).

Добавлено через 3 часа 59 минут

Если у кого из хелперов есть свободное время, может заглянете в пост?

Заранее благодарю, Алексей

[Numb]

Время есть, по карантину: C:\rmconverter.exe - not-a-virus: Downloader.Win32.WinFixer.fs (по классификации Касперского). По остальному - пока ждем ответа.

[alex_prog]

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 855981E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 867631E8 -> перехватчик не определен
Проверка завершена

Если я правильно понимаю, ждем анализа amdfix.sys и xinstall.sys?

================================================== ==========================
Девять вечера, снова АнтВирКасп 6 выдает сообщение о попытке C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HelpSvc.exe пробиться в реестр.
На этот раз я сохранил полный текст сообщения:

Перехвачена попытка записи значения в ключе системного реестра, который входит в группу System Startup. Эти ключи контролируют состав модулей, загружаемых при запуске Microsoft Windows.

Рекомендуется разрешить доступ к этим настройкам только в том случае, если вы хотите, чтобы эта программа запускалась автоматически при включении компьютера. В остальных случаях рекомендуется запретить доступ.

Ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\Pch Svc

Значение: DataCollection

Старые данные(Строка Unicode, заканчивающаяся нулем):
20080407205713.000000-000

Новые данные(Строка Unicode, заканчивающаяся нулем):
20080408205714.000000-000

Если не сложно, поясните, почему HelpSvc.exe лезет туда...

Добавлено через 6 часов 24 минуты

Я жив, я здесь, я жду...

Добавлено через 3 часа 7 минут

Уж и не знаю как еще напомнить о себе...
По-прежнему жду помощи :-)

С уважением, Алексей

[alex_prog]

Доброго времени суток.
И снова напоминаю о себе, так, на всякий случай...

[alex_prog]

Доброго времени суток.
Провел собственное исследование и обнаружил, что файл xinstall.sys
скорее всего относиться к программе Ulead GIF Animator 5
Почему, по 2-м причинам.
1) В папке этой программы есть файл с похожим названием xinstall.ini
вот его содержимое:

[xinstall]
retries=3
buy=http://www.buyonet.com/s/u?id=4.53.48&page=xlok_big_shopping_cart&shopping_ cart=0001-8894|1&design=ulead_design
timeout=10
wait=60
pop=1
web=http://www.ulead.com
naglogo=nag.bmp
logo=activation.bmp
note=Please Note: Following your purchase, the program will register this information the first time you start it. The program will convert into the full version the second time the program is started.
notetitle=Ulead

[serverlist]
s0=gdmsv1.gdm.sas.xtreamlok.com
s1=master.sas.xtreamlok.com

[phone]
USA=+1-800-539-0466
Sweden=+46 (31) 778 7900

Все довольно безобидно...

2) На другом компе где установлена эта прога при проверке АВЗ так же выскакивает сообщение о НЕОПРЕДЕЛЕННОМ ПЕРЕХВАТЧИКЕ...

Может быть совпадение, а может и нет.

Хотел деинсталировать прогу и проверить, что получится, но не вышло.
При деинсталяции с помощью "Установка и удаление программ" прога выдает сообщение о не возможности переустановки по причине уже установленной версии программы. Странно, я же не переустановить пытаюсь, а удалить! А в ручну не получается, потому как отсутствует фай UnInst.exe, UnInst.ini, Unvise или любые подобные...
Жду ответа...

С уважением, Алексей

[alex_prog]

Еще (думаю последний) раз прошу кого нибудь из хелперов, обратить внимание на этот пост и хоть что нибудь (желательно по теме) ответить.
Я понимаю, что у вас и без меня хватает забот. В таком случае, дайте знать, хотя бы о том, что ответа ждать нет смысла.......
Думаю это будет почеловечески.

По-прежнему, с уважением, Алексей.

[V_Bond]

насчет главного ....

Код:

FileSystem\ntfs[IRP_MJ_CREATE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 855981E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 855981E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 867631E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 867631E8 -> перехватчик не определен

- DAEMON Tools ...
его проделки ...
C:\rmconverter.exe not-a-virus: Downloader.Win32.WinFixer.fs
выполните скрипт

Код:

begin
 DeleteFile('C:\rmconverter.exe ');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи ...

[alex_prog]

Доброго времени суток.
1) Скрипт выполнил
2) Логи отправил

С главной проблемой разобрались, а что на счет второстепенной?

Девять вечера, снова АнтВирКасп 6 выдает сообщение о попытке C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HelpSvc.exe пробиться в реестр.
На этот раз я сохранил полный текст сообщения:

Перехвачена попытка записи значения в ключе системного реестра, который входит в группу System Startup. Эти ключи контролируют состав модулей, загружаемых при запуске Microsoft Windows.

Рекомендуется разрешить доступ к этим настройкам только в том случае, если вы хотите, чтобы эта программа запускалась автоматически при включении компьютера. В остальных случаях рекомендуется запретить доступ.

Ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\Pch Svc

Значение: DataCollection

Старые данные(Строка Unicode, заканчивающаяся нулем):
20080407205713.000000-000

Новые данные(Строка Unicode, заканчивающаяся нулем):
20080408205714.000000-000

Если не сложно, поясните, почему HelpSvc.exe лезет туда...

С уважением, Алексей

[V_Bond]

HelpSvc.exe - справка и поддержка .... от майкрософт ... если не нужно просто остановите службу ... проактивка у касперского сильно бдительная ...

[alex_prog]

Понял, отключил, спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 13
• В ходе лечения вредоносные программы в карантинах не обнаружены