Повторы в диагностике системы

[Денис Виноградов]

Здравствуйте!

У меня следующая проблема. При запуске AVZ со сканированием всех дисков, максимальном уровне эвристики и блокировании работы Rootkit User-Mode и Rootkit Kernel-Mode обнаруживаются перехватчики и восстанавливаются функции, например:

Функция ntdll.dlldrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C917EA8->03518C

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция NtCreateKey (29) перехвачена (8057791D->F74D70E0), перехватчик spga.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован

Но, при каждой новой загрузке компьютера все повторяется вновь, т.е. пишутся те же сообщения.
ВОПРОС: Как сделать так, чтобы восстановление функций и т.п. произошло бы окончательно?
И еще - вопрос по процессорам:

Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 001450C4
Disable callback OK

Это тоже повторяется при каждой новой загрузке Windows XP - и тоже не может быть окончательно исправлено.

Заранее благодарен -
Денис Виноградов

[Aleksandra]

Логи надо сделать по правилам.

[Денис Виноградов]

Aleksandra, спасибо за помощь!
Но дело в том, что я не знаю AVZ опытно, некоторые термины (или операции с терминами) мне непонятны. Не могли бы Вы (ссылку я смотрел) дать мне какой-нибудь более "компактный" ответ?
Благодарю заранее -
Д.В.

[Белый Сокол]

Денис Виноградов, так при обращении за помощью многие и не слышали об AVZ. А в правилах все очень доступно

[Денис Виноградов]

Спасибо, попробую...)

Логи AVZ (2) и hijackthis - прикрепляю.

Сорри, не сразу разобрался, что нужно прикреплять архивы

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('aswArKrn');
 QuarantineFile('C:\WINDOWS\system32\twex.exe','');
 QuarantineFile('C:\DOCUME~1\11361~1\LOCALS~1\Temp\aswArKrn.sys','');
 DeleteFile('C:\DOCUME~1\11361~1\LOCALS~1\Temp\aswArKrn.sys');
 DeleteFile('C:\WINDOWS\system32\twex.exe');
 DeleteService('aswArKrn');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 BC_DeleteSvc('aswArKrn');
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Денис Виноградов]

Новые логи

[Белый Сокол]

virusinfo_cure.zip и virus.zip открепите. Нужен virusinfo_SYScure.zip.

[Денис Виноградов]

Простите за mauve tone) Файл virusinfo_SYScure.zip. прикрепляю.

[Денис Виноградов]

Еще прикрепляю файл с листингом перехватчиков, полученный через Антивирус Касперского (программой это рекомендовано сделать вместо удаления перехватчиков).

[thyrex]

Ничего подозрительного. Что с проблемой?

[Денис Виноградов]

Там изложены все проблемы. Хэлперы посоветовали мне сделать некоторые вещи с AVZ и Hijack, прикрепить файлы (см. выше).

Я все сделал, жду нового ответа от Rene_Gad, Белый Сокол, Александры.

[pig]

Перехваты - от эмулятора дисков. AVZ их устраняет до перезагрузки.

[Денис Виноградов]

Простите, но каждый раз сообщения типа:

Функция NtCreateKey (29) перехвачена (8057791D->F74D70E0), перехватчик spga.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован

повторяются.

Как сделать так, чтобы восстановление функций и т.п. произошло бы окончательно?

[pig]

Удалите Алкоголь, и будет вам счастье.

[Денис Виноградов]

Удалил, больше не пью)))
А что делать дальше? Перехваты и восстановления функций (7 Rootkit) повторяются.
Заранее спасибо!

[thyrex]

Я все сделал, жду нового ответа от Rene_Gad, Белый Сокол, Александры.

Так я тоже хэлпер, а не пробегающий мимо

В этих перехватах нет ничего подозрительного.
Кроме Алкоголя и Демона такие эмуляторы использует сама система

[Денис Виноградов]

Простите - забыл.
Но ведь (см. выше) каждый Хелпер давал свой рецепт лечения ситуации. Значит, "подозрительное" что-то - есть?

Просто ситуация осталась той же.
Более того, когда AVZ снова и снова пишет

>>> Функция воcстановлена успешно !

появляется сообщение о том, что необходимо перезагрузить компьютер (поскольку была блокирована работа Rootkit Kernel-Mode). А после ПЕРЕЗАГРУЗКИ я снова запускаю AVZ (теперь уже с функцией блокировки Rootkit User-Mode, чтобы больше не перезагружаться), пишется то же, что было ДО блокировки Rootkit Kernel-Mode : "перехватчик не определен" и т.д.

Так как же сделать так, чтобы функции восстановились навсегда?

[thyrex]

То зловредное, что у Вас было, удалено скриптом от Rene-gad
В остальном, все наблюдаемое Вами - это нормальное содержимое лога

[Денис Виноградов]

Простите еще раз.
Могут ли функции быть восстаановлены ДО КОНЦА?

Добавлено через 10 минут

То есть: БЕЗ постоянных ПОВТОРОВ ВОССТАНОВЛЕНИЙ. А также:

Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 001450C4
Disable callback OK

Добавлено через 33 минуты

Простите, забыл.
Еще несколько вопросов:
1. Как часто нужно запускать программу HiJack и как часто стоит фиксить?
2. Программа Virus Removal Tool обнаруживает вирусы, которые не обнаруживет AVZ. Совместимы ли эти программы?
3. У меня на компьютере находятся также программы System Protect и Spyware Terminator. Требуется их деинсталляция? (Проблема ТЕМЫ возникла еще до существования этих антивирусов на моем компьюьтере.
4. Можно ли оставить CCleaner ?

Спасибо.