Показано с 1 по 11 из 11.

Перехватчик speo.sys и не отключается служба TermService (заявка № 55598)

  1. #1
    Junior Member Репутация
    Регистрация
    14.08.2009
    Адрес
    ОАЭ
    Сообщений
    5
    Вес репутации
    54

    Перехватчик speo.sys и не отключается служба TermService

    1. Не отключается служба TermService (Службы терминалов) - при отключении вручную в "Службах" или скриптом AVZ, или через реестр - после перезагрузки вновь активна (тип запуска - Вручную), но не запущена;
    2. При сканировании AVZ определяет много перхватчиков, например:
    ".. \FileSystem\ntfs[IRP_MJ_CREATE] = 89DE01F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE01F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 89DE01F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE01F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE01F8 -> перехватчик не определен.."
    или
    ".. Функция NtCreateKey (29) перехвачена (806237E0->B7EAA0E0), перехватчик speo.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (80624020->B7EC7CA2), перехватчик speo.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (8062428A->B7EC8030), перехватчик speo.sys
    >>> Функция воcстановлена успешно !.."
    Причем этот файл - "speo.sys" каждый раз выступает в новой ипостаси - spxe.sys, sppn.sys и т.д., в системе их обнаружить не удаётся.
    На ноуте установлен обычный офисный набор +
    - IKARUS Security Software - рабочий, всё ловит, кроме вышеописанного;
    - Bioscrypt VeriSoft Access Manager - для входа в систему по отпечатку пальца со встроенного сканера (ноут HP Pavilion dv2855ee)
    Свежий AVPTool ничего не находит
    А так - всё работает и не тормозит особо...
    Заранее спасибо,
    Geezer
    Последний раз редактировалось Geezer; 25.09.2009 в 21:53. Причина: Не получается вложить логи...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    sp**.sys - это от DaemonTools
    Выполните скрипт в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\ddnt.sys','');
     QuarantineFile('C:\TEMP\ALSysIO.sys','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Закачайте карантин по ссылке вверху страницы. Повторите логи АВЗ с включенным AVPZM.
    Последний раз редактировалось vegas; 27.09.2009 в 20:11.

  4. #3
    Junior Member Репутация
    Регистрация
    14.08.2009
    Адрес
    ОАЭ
    Сообщений
    5
    Вес репутации
    54
    vegas,
    Спасибо!
    Однако, прежде чем приступать, можно 2 вопроса:
    1. В скрипте: _ ClearHostsFile; Зачем? Host сделал сам (SpyBot помог ), я так понимаю, это допзащита от нежелательных сайтов...
    2 Файл APSHook.dll - принадлежит Verisoft Access Manager, программе, через которую я логинюсь по отпечатку пальца.. Пароль на вход я, естественно, давно забыл, и если я "пофиксю" этот файл, прога, скорее всего, вылетит и я не смогу войти в систему...
    Жду комментариев
    С уважением,
    Geezer
    Последний раз редактировалось Geezer; 27.09.2009 в 19:25.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Обычно большой hosts - работа зловреда, если вы сами его создали - удалять не будем . APSHook.dll оставим в покое, включаем AVZPM, выполняем скрипт, закачиваем карантин и делаем новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    14.08.2009
    Адрес
    ОАЭ
    Сообщений
    5
    Вес репутации
    54
    vegas,
    Цитата Сообщение от vegas Посмотреть сообщение
    включаем AVZPM
    AVZPM или AVZGuard? Драйвер AVZPM постоянно включен (загружен)...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    AVZPM - установить драйвер расширенного мониторинга процессов, перезагрузиться, сделать логи

  8. #7
    Junior Member Репутация
    Регистрация
    14.08.2009
    Адрес
    ОАЭ
    Сообщений
    5
    Вес репутации
    54
    Скрипт выполнен, AVZPM установлен (задействовал при установке АВЗ, вроде загружен постоянно)

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Логи чистые, драйвер AVZPM удалите. Какие то проблемы в работе компьютера имеются?

  10. #9
    Junior Member Репутация
    Регистрация
    14.08.2009
    Адрес
    ОАЭ
    Сообщений
    5
    Вес репутации
    54
    vegas,

    Спасибо!
    Был в командировке...
    Проблем с работой нет. Волнуют лишь красные строки при проверке АВЗ, (свежий скан) типа:
    "1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 89DE01F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE01F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 89DE01F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE01F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE01F8 -> перехватчик не определен.."
    и
    " Функция NtCreateKey (29) перехвачена (806237E0->B7EAA0E0), перехватчик spxs.sys
    Функция NtEnumerateKey (47) перехвачена (80624020->B7EC7CA2), перехватчик spxs.sys
    Функция NtEnumerateValueKey (49) перехвачена (8062428A->B7EC8030), перехватчик spxs.sys..."
    Кстати, Вы писали - "sp**.sys - это от DaemonTools"
    НО Я НЕ УСТАНАВЛИВАЛ DaemonTools ! Хотя файл sptd.sys в системе есть..
    И второе - TermService (Службы терминалов) так и не отключается! Хоть скриптом в АВЗ, через редактор реестра или просто в службах... Отключаю - после перезагрузки опять "в ручном режиме". Первый раз такая проблема, всегда сразу после кстановки системы отключал TermService, а теперь как феникс...

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    НО Я НЕ УСТАНАВЛИВАЛ DaemonTools ! Хотя файл sptd.sys в системе есть.
    ну это от него, перехваты тоже... неужели никогда не ставили на компьютер никакой эмулятор дисков ?

    TermService (Службы терминалов) так и не отключается! Хоть скриптом в АВЗ, через редактор реестра или просто в службах...
    такой скрипт применяете?
    Код:
    begin
    SetServiceStart('TermService', 4);
    end.
    При выполнении скрипта антивирусы и прочее отключаете ?

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Geezer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 04.07.2011, 12:21
    2. Неизвестная служба, не отключается
      От AndreyET в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 01.11.2009, 20:07
    3. Служба spoolsv отключается при попытке печати
      От Ghorthost в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.10.2009, 13:59
    4. перехватчик speo.sys
      От _oops в разделе Microsoft Windows
      Ответов: 7
      Последнее сообщение: 29.07.2009, 12:27
    5. Отключается служба печати.
      От Zervovs в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.12.2006, 09:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00640 seconds with 17 queries