» AVZ - Anti-SpyWare, Anti-AdWare

volodya62
Цитата:

Итак, Ваш вердикт. Пациент здоров, жить будет?

Я нисколько не сомневаюсь в компетентности Зайцева Олега , но если вам не сложно сделайте, пожалуйста, исследование системы (вот здесь описана последовательность действий), меня смущает множество подмен PID'ов..., я давно уже не общался с компами на которых установлен Касперский (у вас какой стоит?) поэтому возможно это и нормально..., с другой стороны множество перехватов WinAPI характерных для него же - отсутствую

DJ makrus
У меня стоит KIS 7(я об этом писал). Из твикеров стоит TuneUp Utilities 2008, Reg Organizer(но его я использую только для просмотра всех новых появившихся записей), RegVac Registry Cleaner, SpeedUp My PC.

Добавлено:

Цитата:

исследование системы (вот здесь описана последовательность действий),

Вечером буду дома, обязательно сделаю.

DJ makrus
Вот сделал всё как было сказано.
Архив лежит здесь: http://narod.ru/disk/3069930000/avz_sysinfo.zip.html
Да, я в архив на всякий случай добавил лог.

volodya62
Цитата:

У меня стоит KIS 7(я об этом писал)

Ага, прошу прощения, не отложилось в памяти
А вот об оси вы кажется ничего не говорили, у вас Виста? (или же Server 2008)
Явно "криминального" ничего не заметил, "подмена PID'а" вроде бы характерна в некоторых случаях для серверной винды, по странным путям к файлам заблокированным Касперским - ничего определенного сказать не могу, я с таким не сталкивался.
На всякий случай найдите у себя и проверьте например на ВирусТотал'е следующие файлы:
C:\Windows\system32\PnkBstrA.exe
C:\Windows\System32\Drivers\a5n3lyxf.SYS
C:\Windows\System32\Drivers\spsf.sys
ну и на всякий случай эти два еще:
C:\Windows\System32\GERZCL~1.SCR
C:\PROGRA~1\GISMET~1\GISMET~1.DLL
если кто из AV будет ругаться ссылки запостите глянуть.

DJ makrus
Да, у меня Vista Ultimate32Bit SP1.

на ВирусТотал'е проверил эти файлы:
C:\Windows\system32\PnkBstrA.exe
C:\Windows\System32\GERZCL~1.SCR
C:\PROGRA~1\GISMET~1\GISMET~1.DLL - они чистые.
а вот эти я почему-то не нашёл :
C:\Windows\System32\Drivers\a5n3lyxf.SYS
C:\Windows\System32\Drivers\spsf.sys

А вот эти файлы, которые помещены в карантин можно восстановить или без них всё будет нормально :
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll)
C:\Program Files\Unlocker\UnlockerHook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Unlocker\UnlockerHook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
C:\Program Files\Unlocker\UnlockerHook.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Unlocker\UnlockerHook.dll)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиш
4. Опрашивает состояние клавиатуры
5. Опрашивает активную раскладку клавиатуры
6. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 89.00% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll)
C:\Program Files\Stardock\CursorFX\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\CursorFX\CurXP0.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Stardock\CursorFX\CurXP0.dll)
в принципе вроде всё работает как и прежде...

Цитата:

в принципе вроде всё работает как и прежде...

Оно и будет работать.Вы же ничего не удаляли.А востановить вы сможете все.Карантин не удаление.Только вот почитали бы топик сперва.Тут неоднократно писалось о Punto Switcher,Unlocker,ну Касперского то вы зачем в карантин запихали?
Это перебор уже.AVZ очень обьективная утилита и реагирует на все,но это не значит,что все нужно сносить.Да и с удалением не спешите вы.Я не знаю,сколько вы по времени,используете AVZ,но не стремитесь,к крайним мерам.Утилита может быть полезна,но настолько же и губительна,в неумелых руках.Старайтесь,в спорных вопросах отсылать файлы и лог,Олегу Зайцеву.А в настройках,выставьте режим спросить.Не рекомендую менять уровень эвристики.В расширенном режиме утилита маниакальна и вот тогда то,беды можете не избежать.А так удачи в использовании,этой замечательной программы. Надеюсь,она не раз поможет вам и убережет комп,от беды.

vv07
Вы нмножко поздно к нам присоеденились.

Цитата:

ну Касперского то вы зачем в карантин запихали?

Я в карантин ничего не запихивал( сам понимаю что это бред - на счёт Каспера) это программа
Цитата:

скопировала

файл.

Цитата:

Старайтесь,в спорных вопросах отсылать файлы и лог,Олегу Зайцеву

Я первым делом это и сделал( только не выслал, а выложил здесь на предыдущей странице).

Цитата:

Я не знаю,сколько вы по времени,используете AVZ,но не стремитесь,к крайним мерам.

Да, я использую её впервые, поэтому и так много вопросов. Я просто заинтересовался этой программой и решил проверить своего Каспера на надёжность. Теперь я в этом убеждён(в хорошую сторону).
А так спасибо за советы, как говорится "будем жить".

volodya62Ну сюда вы выложили лог,а это не совсем правильно.Для того что бы автор,мог усовершенствовать утилиту или верно разобраться,в вашей ситуации,необходимо отправлять ему архив с файлами и лог.Это легко сделать на оффсайте.Ну это на будущее вам,для удобства.Поздно,потому что были проблемы с компьютером.Обычно,я сижу в этой теме постоянно,потому что фанат AVZ.
Ну а по карантину.Если бы вы использовали режим,спросить,то смогли бы сами определиться,что следует отправлять,а что нет Потому и дал совет,по настройкам.

vv07
ОК!!!
Для того что бы автор,мог усовершенствовать утилиту или верно разобраться,в вашей ситуации,необходимо отправлять ему архив с файлами и лог.Это легко сделать на оффсайте.
Да, я пытался это сделать, но только хотел отправить почтой. А Gmail сразу этот архив(с этими 4-мя файлами) заблокировал -у них там Доктор Вэб стоит. И больше я не стал пробовать. А что через сайт можно я не знал,спасибо сегодня вечером приду домой и загружу этот архив через сайт(просто для успокоения души).

volodya62
Цитата:

Да, у меня Vista Ultimate32Bit SP1

Ясно.
Цитата:

на ВирусТотал'е проверил эти файлы:
...
- они чистые

ну скажем так: представленные там AV считают их чистыми.
Цитата:

а вот эти я почему-то не нашёл :...

Первый из них похож на драйвер (Алкоголя/Демона - у вас какой?) создаваемого динамически со случайным именем - поэтому найти не можете, но меня смущают следующие моменты с которыми я не сталкивался:
1. Самого драйвера sptd.sys - нет в секции драйверов, а только в списке файлов "прямого чтения"
2. В описании файла a5n3lyxf.SYS говорится что производитель "© Microsoft Corporation. All rights reserved."
3. Как я уже говорил, этот драйвер должен перехватывать WinAPI, а у вас этого не видно.
Возможно это черезмерная мнительность, в связи с тем что с этим драйвером под Вистой я не сталкивался...
Про второй ничего вообще сказать не могу
Попробуйте:
AVZ --> Сервис --> Писк данных на диске:
Слева в дереве отметьте "C:\Windows"
Справа сверху в поле "Имя файла" введите искомое имя полностью (эту процедуру выполните сначала для одного файла, затем для другого)
Жмете "Пуск"
Если вдруг что-то находится выделяете --> Копировать отмеченные файлы в карантин
Это маловероятно, но возможно, проверяете на ВирусТотал'е и при положительно реакции приведите здесь ссылки оттуда.

DJ makrus

Цитата:

AVZ --> Сервис --> Писк данных на диске:
Слева в дереве отметьте "C:\Windows"
Справа сверху в поле "Имя файла" введите искомое имя полностью (эту процедуру выполните сначала для одного файла, затем для другого)

sptd.sys нашёл, проверил- чистый
a5n3lyxf.SYS а этого нет не нашёл.

Цитата:

А вот эти файлы, которые помещены в карантин можно восстановить или без них всё будет нормально :
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll)
C:\Program Files\Unlocker\UnlockerHook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Unlocker\UnlockerHook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
C:\Program Files\Unlocker\UnlockerHook.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Unlocker\UnlockerHook.dll)
C:\Program Files\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиш
4. Опрашивает состояние клавиатуры
5. Опрашивает активную раскладку клавиатуры
6. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 89.00% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\Program Files\Punto Switcher\pshook.dll)
C:\Program Files\Stardock\CursorFX\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\CursorFX\CurXP0.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Program Files\Stardock\CursorFX\CurXP0.dll)

А с этими как быть?

Цитата:

Самого драйвера sptd.sys - нет в секции драйверов, а только в списке файлов "прямого чтения"

Всё нормально, он же скрывается, в некотором роде руткит.
Хотя spsf.sys, который тоже присутствует в списке (но не на диске), совсем другое. Да и в сети мало информации (3 штуки, из которых одна - наша ).

Цитата:

А вот эти файлы, которые помещены в карантин можно восстановить или без них всё будет нормально :
А с этими как быть?

Да никак. Не "можно", а нужно. Вы взгляните - это же компоненты уважаемых программ, легально находящихся в папке Program Files...

volodya62
Цитата:

sptd.sys нашёл, проверил- чистый

То что проверили и он "чистый" - хорошо, конечно, но я просил проверить те которые
18:57 09-10-2008
Цитата:

а вот эти я почему-то не нашёл :
C:\Windows\System32\Drivers\a5n3lyxf.SYS
C:\Windows\System32\Drivers\spsf.sys

первый вы и с помощью AVZ не нашли (что и ожидалось), а вот второй тоже попробуйте найти и в случае успеха - проверить
Цитата:

А с этими как быть?

1. Как вы говорите, программа скопировала файл, а не переместила, т.е. оригинальный файл остался на месте, а в карантине программы появился дубликат каждого из этих файлов.
2. Как уже сказал vv07 вы ничего не удаляли (и программа соотвественно), т.е. и восстанавливать нечего, т.к. все осталось на месте, поэтому и работает все.
3. Если бы вы переместили эти файлы, то касперский точно бы начал ругаться (если бы он конечно дал пересестить один из своих файлов), поэтому можете, если, хотите и предварительно все-таки убедившись что файлы на месте - удалить их из карантина.

Erekle
Цитата:

Всё нормально, он же скрывается, в некотором роде руткит.

На XP этот драйвер должен быть виден в списке драйверов..., на счет Висты - не знаю

DJ makrus

Цитата:

первый вы и с помощью AVZ не нашли (что и ожидалось), а вот второй тоже попробуйте найти и в случае успеха - проверить

По крайней мере по этому пути точно нет, и утилитой искал и сам смотрел...

volodya62
Судя по названию он создавался рандомно, что запускали что могло его создать? он все еще обнаруживается?Каспер его тоже не видит?в безопасном режиме?

redwhiterus

Цитата:

Судя по названию он создавался рандомно, что запускали что могло его создать? он все еще обнаруживается?Каспер его тоже не видит?в безопасном режиме?

Да нет меня вообще сейчас ничего не беспокоит, всё нормально. Просто уважаемый DJ makrus попросил меня его найти, но у меня его нет в системе...

redwhiterus
Цитата:

...что запускали что могло его создать?

его скорее всего создает драйвер CD-эмулятора - sptd.sys (выше об этом писАлось), вполне нормальные программы (какая точно - volodya62 так пока и не ответил), такой же ее должен и каспер считать, и, соотвественно, не поднимать панику.

volodya62
Возможно он был чем-то создан в тот момент, а позднее, например после перезагрузки исчез.

Добавлено:

Цитата:

его скорее всего создает драйвер CD-эмулятора - sptd.sys (выше об этом писАлось), вполне нормальные программы (какая точно - volodya62 так пока и не ответил), такой же ее должен и каспер считать, и, соотвественно, не поднимать панику.

никто не поднимает панику, вполне возможно что это и эмулятор, скорее всего Alcohol или DT они вроде бы оба его используют.

DJ makrus
Извините, запарился. У меня стоит Alcohol 120, работает без проблем.
redwhiterus
Ну наверно Алкашём?

Стоп,стоп уважаемые.Блин и я тоже,старый дурак запарился тут,со своими делами,пропустил ваши сомнения по этому драйверу.После деинсталяции Daemon Tools,оставляет этот драйвер sptd.sys в системе.Так что выкиньте его из головы.
Должен быть еще и sptd7437.sys

vv07
Мы про второй драйвер, а если надо снести драйвер sptd.sys то скину линк в ПМ

vv07

Цитата:

После деинсталяции Daemon Tools,оставляет этот драйвер sptd.sys в системе.

Да, когдато давненько пробовал Daemon Tools, но не понравился он мне. Снёс его, всё почистил и поставил Алкаша и больше не парюсь с эмулятором. Но ведь Алкоголик тоже ставит этот драйвер, пока его нет, Алкаш не встанет, ведь так?

volodya62
Насколько знаю да, так что сносить нет смысла.

volodya62
Все верно,за исключением одного.После удаления Алкаша,эти дрова тоже удаляються,только Daemon Tools оставляет их после себя.

vv07
Ну с stpd.sys всё ясно, а вот этого я у себя не нашёл:
C:\Windows\System32\Drivers\a5n3lyxf.SYS
C:\Windows\System32\Drivers\spsf.sys
нет их у меня...

redwhiterus
Вы про a5n3lyxf.SYS?То если честно,никогда не сталкивался вообще,с таким обозначением системных файлов.

Добавлено:

Цитата:

spsf.sys

Видоизмененный файл sptd.sys,поэтому и хорошо,что его нет.Его создает CastleCops® Possible Rootkit,маскируясь или непосредственно поражая драйвер эмулятора.Точно не помню,извините.

Цитата:

Вы про a5n3lyxf.SYS?То если честно,никогда не сталкивался вообще,с таким обозначением системных файлов.

Видимо что-то создало его случайно, так например создается драйвер для закрепления в системе от руткитов у DrWeb каждый раз случайным образом....

redwhiterus
Цитата:

никто не поднимает панику,...

суть моих слов:
Цитата:

...такой же ее должен и каспер считать, и, соотвественно, не поднимать панику.

в том что каспер не должен поднимать панику

vv07
Цитата:

Вы про a5n3lyxf.SYS?То если честно,никогда не сталкивался вообще,с таким обозначением системных файлов.

Как сказал redwhiterus это имя выглядет рандомным, и если оно от Алкоголя, то он каждый раз при запуске создает модуль и присваивает ему рандомное имя (при запуске винды), поэтому это не системный файл, а программный и даже не файл, а модуль создаваемы драйвером sptd.sys и существующий только в оперативной памяти...
Цитата:

Видоизмененный файл sptd.sys,поэтому и хорошо,что его нет

Если это действительно так, то на него должна быть ссылка в реестре..., volodya62 не могли бы вы попробовать найти ссылку(и) на файл spsf.sys в реестре? Только попробовать найти ничего больше! Ни править, ни удалять!
Если в реестре не найдется - значит что-то еще живет и здравствует

Цитата:

Его создает CastleCops® Possible Rootkit...

т.е. это своеобразная защита от эмуляторов?

Цитата:

Как сказал redwhiterus это имя выглядет рандомным, и если оно от Алкоголя, то он каждый раз при запуске создает модуль и присваивает ему рандомное имя (при запуске винды), поэтому это не системный файл, а программный и даже не файл, а модуль создаваемы драйвером sptd.sys и существующий только в оперативной памяти...

добавлю к вашим словам надо поробовать найти его в безопасном режиме, если он будет то это по меньшей мере подозрительно, алкоголь не должен в нем работать...

DJ makrus
Теперь кажеться я начиная подтормаживать.Если мы ведем речь о виртуальном файле,то какие тогда проблемы вообще.Его же просто нет в системе.Он создавался,при эмуляции.Находился в оперативе.Или вы предполагаете,что он там и сидит?создавая угрозу.