Показано с 1 по 20 из 20.

Перехватчики ntfs, маскировка сервисов,Cmpcallcallbacks (заявка № 59529)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30

    Arrow Перехватчики ntfs, маскировка сервисов,Cmpcallcallbacks

    После переустановки винды проверил АВЗ, а там букет клопов разномастных. Частая перезагрузка ни стого ни с чего, зависает,удалилась учетная запись, после этих перезагрузок вся винда на перекосяк...
    Помогите пожалуйста избавиться от насекомых!!!
    Вложения Вложения
    Последний раз редактировалось pig; 07.11.2009 в 07:35. Причина: карантин в теме - моветон

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Ничего зловредного в логах нет.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Ничего зловредного в логах нет.
    Функция kernel32.dlloadLibraryA (581) перехвачена, метод APICodeHijack.JmpTo[10005BA6]
    >>> Код руткита в функции LoadLibraryA нейтрализован
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    CmpCallCallBacks = 00088FF6
    Disable callback - уже нейтирализованы
    Проверка IDT и SYSENTER завершена
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 82BA7500 -> перехватчик не определен

    Извините конечно , но мне кажеться так не должно быть, Вам виднее.
    Вложения Вложения
    Последний раз редактировалось xooch; 07.11.2009 в 06:39.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Желательно деинсталлировать MBAM и TuneUp. И кстати, что за сборка Windows у Вас?

    Цитата Сообщение от xooch Посмотреть сообщение
    так и должно быть???
    Это нормально...
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30
    Деинсталирую, сборка WindowsXP SP3 RU BEST XP EDITION Release 9.9.5.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Цитата Сообщение от xooch Посмотреть сообщение
    сборка WindowsXP SP3 RU BEST XP EDITION Release 9.9.5.
    Вот главная проблема. Использование левых сборок Windows типа Zver, Samlab и им подобных...
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30
    И все-таки я полагаю это не нормально, ведь раньше не было ни каких APICodeHijack.JmpTo и ntfs/FastFat перехватчиков.

    Добавлено через 7 минут

    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Вот главная проблема. Использование левых сборок Windows типа Zver, Samlab и им подобных...
    Если не трудно опишите эти главные проблемы... а Samlab не делает сборок.
    Последний раз редактировалось xooch; 07.11.2009 в 06:59. Причина: Добавлено

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Перехваты абсолютно нормальные. Раньше это когда? Вы часто делаете логи AVZ и смотрите, что в них интересного?
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30
    CmpCallCallBacks = 00088FF6 - это что такое обьясните мне пожалуйста если не трудно!!!
    Раньше - это до того как появились разного рода перехватчики
    Да, я часто делаю логи.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Цитата Сообщение от xooch Посмотреть сообщение
    Если не трудно опишите эти главные проблемы...
    Например, при лечении от вирусов сталкивалась с невозможностью отключить восстановление системы.

    Цитата Сообщение от xooch Посмотреть сообщение
    а Samlab не делает сборок.
    http://streamzone.ru/tracker/windows...us-t16496.html
    http://nnm.ru/blogs/valek101/windows...orka_samlabws/

    Добавлено через 5 минут

    Цитата Сообщение от xooch Посмотреть сообщение
    CmpCallCallBacks = 00088FF6 - это что такое обьясните мне пожалуйста если не трудно!!!
    Уже как-то объясняла. Прочитайте тему http://virusinfo.info/showthread.php?t=52751
    Последний раз редактировалось Aleksandra; 07.11.2009 в 07:19. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  12. #11
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30
    [QUOTE=Aleksandra;503134]Например, при лечении от вирусов сталкивалась с невозможностью отключить восстановление системы.


    Ну какими-то сборками я не пользуюсь.
    А по поводу SamLab: В интернете есть много программ (в том числе пиратских) и сборок Windows с припиской SamLab.ws - не верьте этому! Наш сайт делает только указанные http://samlab.ws/category/samsoft/ продукты без вареза!
    Последний раз редактировалось xooch; 07.11.2009 в 08:04.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Вы имеете какое-то отношение к Samlab?
    Сердце решает кого любить... Судьба решает с кем быть...

  14. #13
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Вы имеете какое-то отношение к Samlab?
    Ответ на этот вопрос не поможет вам в оказании мне помощи.

    Добавлено через 1 минуту

    Aleksandra, извените за нескромный вопрос: сколько Вам лет?
    Последний раз редактировалось xooch; 07.11.2009 в 07:42. Причина: Добавлено

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Цитата Сообщение от xooch Посмотреть сообщение
    Ответ на этот вопрос не поможет вам в оказании мне помощи.
    Я ответила на все Ваши вопросы. Если Вы действительно имеете отношение к сайту который указали, то уберите первые два Информера с глупым утверждением.

    Цитата Сообщение от xooch Посмотреть сообщение
    Aleksandra, извените за нескромный вопрос: сколько Вам лет?
    Вы всем дамам такие вопросы задаете? Вопрос не только нескромный, но и неуместный. End of discussion.
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30
    После перезагрузки появилось что-то новенькое:

    Функция NtCreateKey (29) перехвачена (8061A360->F735B0E0), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (8061ABA0->F7379DA4), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (8061AE0A->F737A132), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (8061B732->F735B0C0), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryKey (A0) перехвачена (8061BA58->F737A20A), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryValueKey (B1) перехвачена (80618598->F737A08A), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetValueKey (F7) перехвачена (806188E6->F737A29C), перехватчик sprj.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Проверено функций: 284, перехвачено: 7, восстановлено: 7

    DAEMON Tools и Alcohol не позьзуюсь и не устанавливал!!!
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    А по правилам лог сделать?

    В вашу сборку интегрирован драйвер эмулятора дисков sptd.sys, это его происки.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,703
    Вес репутации
    2833
    Это от эмулятора дисков... В первом логе AVZ, который Вы прикрепили его тоже видно.
    Сердце решает кого любить... Судьба решает с кем быть...

  19. #18
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30
    Цитата Сообщение от pig Посмотреть сообщение
    А по правилам лог сделать?

    В вашу сборку интегрирован драйвер эмулятора дисков sptd.sys, это его происки.
    А по поводу этого что вы скажите:

    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    CmpCallCallBacks = 00088FF6
    Disable callback - уже нейтирализованы
    Проверка IDT и SYSENTER завершена
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 82F6F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 82BA7500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 82BA7500 -> перехватчик не определен

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Оттуда же.

  21. #20
    Junior Member Репутация
    Регистрация
    06.11.2009
    Сообщений
    10
    Вес репутации
    30
    Сомнительно конечно.
    Спасибо за Помощь!!!

  • Уважаемый(ая) xooch, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 11.08.2011, 14:04
    2. Ответов: 7
      Последнее сообщение: 23.11.2010, 19:00
    3. Неизвестный перехватчик в ntfs потоках
      От prorock8 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2010, 12:45
    4. Ответов: 12
      Последнее сообщение: 22.02.2009, 04:48
    5. Перехват фунций \FileSystem\ntfs
      От maximus666 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.04.2008, 18:50

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00487 seconds with 17 queries