Показано с 1 по 11 из 11.

AVZ не может определить перехватчиков при проверке обработчиков IRP (заявка № 52768)

  1. #1
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    6
    Вес репутации
    32

    Thumbs up AVZ не может определить перехватчиков при проверке обработчиков IRP

    Добрый день.
    Не думал, что придется просить о помощи,
    всегда справлялся с редкой заразой своими силами, но впервые сталкиваюсь с случаем,
    что AVZ не может определить перехватчиков.

    Направляю логи.

    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 86FCD1E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 86FCD1E8 -> перехватчик не определен
    ...
    \FileSystem\FastFat[IRP_MJ_PNP] = 85DF71E8 -> перехватчик не определен

    Заранее спасибо за помощь =)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\tempo-25956390.tmp','');
     DeleteFile('C:\WINDOWS\TEMP\tempo-25956390.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
    Пункт 2 диагностики повторите.

    Перехваты от эмулятора дисков.

  4. #3
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    6
    Вес репутации
    32
    После выполнения скрипта:

    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\TEMP\tempo-25956390.tmp)
    ...
    >>>Для удаления файла C:\WINDOWS\TEMP\tempo-25956390.tmp необходима перезагрузка

    Как не пытался изменить скрипт, но помещать в карантин файл AVZ не желает.
    Думал воспользоваться "Отложенным удалением файла", но тогда не смог бы прислать Вам карантин.

    Буду благодарен новым советам.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    Найдите этот файл у себя в системе. Если есть, то запакуйте его с паролем virus и пришлите его нам.
    Если его нет, то уберите это задание из Планировщика задач.
    И пункт 2 диагностики повторите.

  6. #5
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    6
    Вес репутации
    32
    Файл, не обнаружен.
    Направляю лог проверки.

    Разъясните, пожалуйста:
    >Перехваты от эмулятора дисков.
    Можно узнать от эмулятора какой именно программы?
    Я правильно понял, что это нормально и эти ошибки avz надо игнорировать?

    Спасибо.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Enchant Посмотреть сообщение
    Можно узнать от эмулятора какой именно программы?
    Например от этого: http://gizmod.ru/2007/09/18/daemon_t...ljator_diskov/
    Цитата Сообщение от Enchant Посмотреть сообщение
    Я правильно понял, что это нормально и эти ошибки avz надо игнорировать?
    Это не ошибка АВЗ. Просто поведение эмуляторов напоминает поведение руткитов.
    - Сделайте лог GMER.

  8. #7
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    6
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Да я понял, что от каких программ, просто у меня эмуляторов дисков в системе много, было интересно от какого именно.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Это не ошибка АВЗ. Просто поведение эмуляторов напоминает поведение руткитов.
    Это главное, спасибо.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Сделайте лог GMER.
    Прикрепил лог.
    Классная программа, не слышал, спасибо.
    Я так понимаю, теперь надо выполнить скрипт авз, убивающий
    > system32\drivers\gaopdxnkltoirh.sys
    > system32\drivers\MSIVXkmrufnlsxylabgoebydcpafrrdwt jukj.sys
    верно?

    Жду ответа, спасибо.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Enchant Посмотреть сообщение
    Я так понимаю, теперь надо выполнить скрипт авз, убивающий
    > system32\drivers\gaopdxnkltoirh.sys
    > system32\drivers\MSIVXkmrufnlsxylabgoebydcpafrrdwt jukj.sys
    верно?
    Не-а, не верно
    - Выполните код в GMER.
    Код:
    cg0y3ruv.exe -del service gaopdxserv.sys
    cg0y3ruv.exe -del service MSIVXserv.sys
    cg0y3ruv.exe -del file "%systemroot%\system32\drivers\gaopdxnkltoirh.sys"
    cg0y3ruv.exe -del file "%systemroot%\system32\gaopdxnsvutjkx.dll"
    cg0y3ruv.exe -del file "%systemroot%\system32\drivers\MSIVXkmrufnlsxylabgoebydcpafrrdwtjukj.sys"
    cg0y3ruv.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys"
    cg0y3ruv.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys"
    cg0y3ruv.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
    cg0y3ruv.exe -reboot
    После перезагрузки повторите лог GMER

  10. #9
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    6
    Вес репутации
    32
    Скрипт выполнил (ошибки GMER были).
    Свежий лог:
    Вложения Вложения
    • Тип файла: log iLog.log (36.0 Кб, 8 просмотров)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    В логах ничего подозрительного. Жалобы есть?

  12. #11
    Junior Member Репутация
    Регистрация
    23.08.2009
    Сообщений
    6
    Вес репутации
    32
    Жалоб нет, спасибо за четкую и быструю помощь.

  • Уважаемый(ая) Enchant, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 05.08.2010, 10:31
    2. Ответов: 0
      Последнее сообщение: 03.08.2010, 20:51
    3. Проверка обработчиков IRP
      От Antario в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 02.04.2009, 11:10
    4. проверка обработчиков IRP в AVZ
      От Lonely Soul в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 21.01.2009, 22:20
    5. Ответов: 6
      Последнее сообщение: 22.07.2008, 00:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01009 seconds with 17 queries