Привет! Это снова я!
Не раз обращался за помощью - всегда помогали - спасибо!
Сначала проверил Cureit и Combofix - результат - его просто нет.
Потом в ход пошел Haxfix и gmer.
Искал в гугле по строчке \FileSystem\ntfs[IRP_MJ_CREATE] очень мало информации.
Вобщем, пожалуйста логи.
Пожалуйста помогите!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
в планировщике ваше задание ?
на чем основаны подозрения насчет бут-руткита ?
Задание мое.
Подозрения основаны на строчках вида
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86F6B1F8 -> перехватчик не определен
Я его специально снес перед снятием логов и перезагрузил комп.
Сейчас снесу нод на всякий случай.
Не могу прикрепить лог.
Извините он вроде короткий.
GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-13 22:21:10
Windows 5.1.2600 Service Pack 2
Запустите Gmer. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Спасибо! А как его удалить ? Через отложенное удаление можно ?
Вы уж простите что я тут ложную тревогу поднял, это все от того что в интернете ну очень много всего нового появляется.
Последний раз редактировалось myp3ujlo4huk; 13.04.2008 в 22:57.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: