Предполага корен (заявка № 178 061)

Съмнение за руткит?

Добър ден!

Преди около месец в компютъра като нещо странно излезе от зимен сън (не спят зимен сън): Startup екран изведнъж изгасва, и карам продължава да работи усилено. Аз, далеч от греха, изключен бутона. Тогава проверихме, странни промени, които по-долу. Не е факт, разбира се, че те са били в този момент, може би дори по-рано.

Проверете AVZ намерени подозрителни следните точки:

Функция NtMapViewOfSection (A8) прихванати (8384872F-> 91B2A490), кука C: \ Windows \ system32 \ шофьори \ aswSP.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран
Функция NtModifyBootEntry (А9) прихванати (839073D8-> 91A57B98), кука C: \ Windows \ system32 \ шофьори \ aswSnx.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран
Функция NtNotifyChangeKey (AC) прихванати (837FBE5F-> 91A5CFE0), кука C: \ Windows \ system32 \ шофьори \ aswSnx.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран
Функционални NtNotifyChangeMultipleKeys (AD) прихванати (837FAF81-> 91A59EDC), кука C: \ Windows \ system32 \ шофьори \ aswSnx.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран
Функция NtOpenEvent (В1) прихванати (83811DF4-> 91A646CA), кука C: \ Windows \ system32 \ шофьори \ aswSnx.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран
Функция NtOpenEventPair (B2) прихванати (8390CFD5-> 91A6470E), кука C: \ Windows \ system32 \ шофьори \ aswSnx.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран
.
Функция NtQueryObject (F8) прихванати (83802F57-> 91A59CF4), кука C: \ Windows \ system32 \ шофьори \ aswSnx.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран
.
Функция NtQueueApcThreadEx (10E) прихванати (837F9EAF-> 91A59A02), кука C: \ Windows \ system32 \ шофьори \ aswSnx.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран
.
Функция NtQueueApcThreadEx (10E) прихванати (837F9EAF-> 91A59A02), кука C: \ Windows \ system32 \ шофьори \ aswSnx.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран
.
Функция NtShutdownSystem (168) прихванати (83905419-> 91A57918), кука C: \ Windows \ system32 \ шофьори \ aswSnx.sys
>>> Функция възстановен успешно!
>>> Hook код блокиран


от една страна - това е, като, редовно AVAST, но подозирам, че останалата част от неговите подслушвания са етикетирани шофьор призната като доверен - и те не са.

2)
Функция MmGetPhysicalAddress (8366F86F) - машинен код модификация метод не е определена.
>>> Функция възстановен успешно!
Функция MmMapIoSpace (8366FD9B) - машинен код модификация метод не е определена.
>>> Функция възстановен успешно!


това изглежда никога не съм бил (в профила имате по-стара версия, на цена толкова здрави)

Внимание. Възстановен 84 KIST функции по време Антируткит операция

Тук преди е имало 81 - дойде от някъде другаде 3.

Тя всички записи от последното дневника (приложен). За съжаление, действията, предвидени в инструкциите със скриптове не успяха само частично, тъй като най-важният тест скрипт изхвърлени (виж снимката). Докато проверявате диска - вероятно, когато се блъсна в трезора на анти-вирус? Другият доколкото е възможно приложен.

Също така, аз се стартира скрипт, за да се открият слаби места, както са обявени тук. Идентифицирани три уязвимости, като кръпката за успешно приключила, както се препоръчва в резултатите от сценария. На рутера, тъй като се оказа, по подразбиране не е включена SPI

Благодаря предварително за съветите!

C: \ Windows \ system32 \ шофьори \ aswSnx.sys - е Avast шофьор.

Аз съм наясно. Въпрос - защо не се е утвърдила като надежден (както и в други линии)? Дали тази смяна, един час?

Написах по-горе, че честно опитах. Но от този момент на проблема

Изпълнете AVZ *. Отворете меню "Файл" => "Стандарт скриптове" и отбележете точка №3 "лечение скрипт / карантината и събиране на информация за раздела" Помощ! "Virusinfo.info" ( "Advanced System Анализ с режим на зловреден софтуер отстраняване активиран"). Натиснете бутона "Execute избрани скриптове" ( "Изпълнение избрани скриптове"). автоматично сканиране се извършва, лечение и изследване на системата, в резултат на дневника се записва в директорията AVZ влезте в virusinfo_syscure.zip архив папка.

На второ място, както съм написал в описанието, сценария по време на изпълнението пада. Винаги едно и също място, картината е приложен. Anti-Virus е забранено, но все пак.

Благодарим Ви! Обкова защита след почивката, в резултат трябваше да преинсталирате всичко. Ако ми позволите, няколко уточнения:

1) Malwarebytes Anti-Malware - да, разбира се, да преинсталирате, но това е по-лесно да деактивирате защитата в реално време. Това достатъчно ли е?

2) Spybot - Search Унищожи ме веднъж посъветва Help Desk AVAST. Ако не боли, тогава щях да напусна по-рано.

3) Препоръчва се да UVS може да се използва като скенер за в бъдеще?

4) И все пак, от грях: Функция MmGetPhysicalAddress (8366F86F) - машинен код модификация метод не е определена.
>>> Функция възстановен успешно!
Функция MmMapIoSpace (8366FD9B) - машинен код модификация метод не е определена.
>>> Функция възстановен успешно!

тя трябва да бъде така? Помолих за помощ на вашия сайт, защото съдейки по Google, запис, свързани с определени като следи от руткит, но това не е така, аз не можах да намеря.

1) Това е, но постоянно Mbam просто не е нужно.

2) Ще остана в становището, за да реши - вас.

3) Това не е скенер, инструмент за едно и също ниво и функционалността, която AVZ. Kill система и двете тези програми е много проста, използвайте ги под контрол и на препоръките на помощници.

4) Да, добре, особено ако имате антивирусна.