Показано с 1 по 9 из 9.

Перехватчик API и обработчики IRP (заявка № 75591)

  1. #1
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    11
    Вес репутации
    29

    Thumbs up Перехватчик API и обработчики IRP

    Avz показывает проблемы с этими API и IRP...
    Причем только что переустановил систему.
    Помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Сделайте новый лог virusinfo_syscheck.zip и лог Gmer.

  4. #3
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    11
    Вес репутации
    29
    Вот.
    Вложения Вложения

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    11
    Вес репутации
    29
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=085700)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055C700
    KiST = 8050446C (284)
    Функция NtAssignProcessToJobObject (13) перехвачена (805D663C->891B2580), перехватчик не определен
    Функция NtCreateKey (29) перехвачена (806237E6->B7EB50E0), перехватчик spnq.sys
    Функция NtDebugActiveProcess (39) перехвачена (80642FB8->891B3100), перехватчик не определен
    Функция NtDuplicateObject (44) перехвачена (805BDFFE->891B2B30), перехватчик не определен
    Функция NtEnumerateKey (47) перехвачена (80624026->B7ECDDA4), перехватчик spnq.sys
    Функция NtEnumerateValueKey (49) перехвачена (80624290->B7ECE132), перехватчик spnq.sys
    Функция NtOpenKey (77) перехвачена (80624BB8->B7EB50C0), перехватчик spnq.sys
    Функция NtOpenProcess (7A) перехвачена (805CB43A->891B1CC0), перехватчик не определен
    Функция NtOpenThread (80) перехвачена (805CB6C6->891B1FC0), перехватчик не определен
    Функция NtProtectVirtualMemory (89) перехвачена (805B8414->891B29C0), перехватчик не определен
    Функция NtQueryKey (A0) перехвачена (80624EDE->B7ECE20A), перехватчик spnq.sys
    Функция NtQueryValueKey (B1) перехвачена (80621A1E->B7ECE08A), перехватчик spnq.sys
    Функция NtSetContextThread (D5) перехвачена (805D1734->891B2860), перехватчик не определен
    Функция NtSetInformationThread (E5) перехвачена (805CC108->891B26E0), перехватчик не определен
    Функция NtSetSecurityObject (ED) перехвачена (805C0624->891AF700), перехватчик не определен
    Функция NtSetValueKey (F7) перехвачена (80621D6C->B7ECE29C), перехватчик spnq.sys
    Функция NtSuspendProcess (FD) перехвачена (805D4A7C->891B2420), перехватчик не определен
    Функция NtSuspendThread (FE) перехвачена (805D48EE->891B22C0), перехватчик не определен
    Функция NtTerminateProcess (101) перехвачена (805D29DC->891B1E50), перехватчик не определен
    Функция NtTerminateThread (102) перехвачена (805D2BD6->891B2150), перехватчик не определен
    Функция NtWriteVirtualMemory (115) перехвачена (805B43C2->891B2F50), перехватчик не определен

    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89C521F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 89C521F8 -> перехватчик не определен

    Вот это получается нормально тогда?)))
    Просто не знаю, проблем с компом вроде пока нет никаких, нод32 ничего не выдает, только вот авз эту фигню показывает...

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Это нормально

    Выполнить скрипт
    Код:
     begin
    SetAVZPMStatus(False);
    ExecuteStdScr(6);
    RebootWindows(true); 
    end.
    Компьютер перезагрузится.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    11
    Вес репутации
    29
    Сделано.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    А я разве просил лог? Скриптом был выключен AVZPM

    В остальном
    Цитата Сообщение от shapel Посмотреть сообщение
    чисто
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    11
    Вес репутации
    29
    Круто, спасибо большое)))
    Надеюсь проблем не будет, если что буду просить совета

  • Уважаемый(ая) PM99, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 05.08.2010, 10:31
    2. проверка обработчиков irp,
      От anatoliy999 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.07.2010, 22:39
    3. Ответов: 10
      Последнее сообщение: 24.08.2009, 19:56
    4. ЧТо-то не то в обработчиках IRP
      От r_s_nemesis в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 05:52
    5. Ответов: 6
      Последнее сообщение: 22.07.2008, 00:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01486 seconds with 17 queries