Система WinXP Home SP2. Уже 2-3 месяца одинаковая история: avz находит перехватчика в kernel после каждой перезагрузки с новым именем (типа sptd.sys, splx.sys, spzw.sys и т.п.). обозначенный файл отсутствует.
Попытка установить SP3 в конце копирования привела к ошибке типа "Handle error" и "File not found". После этого при перезагрузке - синий экран (в safe mode - тоже). Восстановил обратно только вручную из бэкапа сервиспака по логу spuninst.txt, загрузившись в bartpe.
Команда sfc /scannow вылетает с ошибкой о 0x000006ba [The RPC server is unavailable]. Попытался переустановить XP в режиме обновления из дистриб. XP SP3. При копировании было указано на недостающий файл ax02l71h.sys, при рестарте пишет, что файла нет, - reboot. Ссылку на файл нашел в C:\$WIN_NT$.~BT\unsupdrv.inf:
[Version]
Signature = "$Windows NT$"
DRWeb сканер ничего не нашел, хотя в system32\drivers наплодилась масса явно левых "драйверов" типа a302.sys-a314.sys; adv01nt5.dll-adv11nt5.dll; ati1btxx.sys и т.д. разной длины.
После перезагрузки удалось поймать 2 новых файла путём сравнения с бэкапом system32\drivers. Один - залоченный, вынул с пом. AVZ. Добавил их в архив virusinfo_cure.zip, закачивать без Вашего запроса не стал.
Памажите, плз, кто чем может...
Последний раз редактировалось gk17; 27.10.2008 в 10:16.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Карантин залил. Добавил туда ещё файлы, вынутые ранее.
после выполнения скрипта (кажется, окно об окончании успело промелькнуть). вместо перезагрузки закрылись все приложения и оболочка. Только курсор мыши на пустом экране. Пришлось жать reset. Пробовал запускать два раза, результат не изменился.
А нижеследующее по какой причине появляется?
И почему с каждой перезагрузкой имя перехватчика меняется?
один из таких файлов (sp??.sys), видимо, я обнаружил под именем sptd.sys и добавил к карантину. Может кто-нибудь сказать, что это за "драйвер"?
Функция NtCreateKey (29) перехвачена (8056E7A9->F75A10E0), перехватчик spmm.sys
Функция NtEnumerateKey (47) перехвачена (8056EEB0->F75BECA2), перехватчик spmm.sys
Функция NtEnumerateValueKey (49) перехвачена (8057FB78->F75BF030), перехватчик spmm.sys
Функция NtOpenKey (77) перехвачена (80567CFB->F75A10C0), перехватчик spmm.sys
Функция NtQueryKey (A0) перехвачена (8056EBB9->F75BF10, перехватчик spmm.sys
Функция NtQueryValueKey (B1) перехвачена (8056B103->F75BEF8, перехватчик spmm.sys
Функция NtSetValueKey (F7) перехвачена (80573C8D->F75BF19A), перехватчик spmm.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867861F8 -> перехватчик не определен
Большое спасибо за помощь!
sptd для эмуляции, оказывается, совсем и не нужен, если пользоваться например ultraiso вместо алкоголя120.
Проблемы при копировании файлов установки SP3 исчезли, хотя поставить его так и не удалось (синий экран при загрузке - BAD_POOL_CALLED). При переустановке с обновлением - тоже самое.
Команда sfc по прежнему не работает.
Но, вероятно, это уже не к вам. Хотя если кто-то знает, где искать ответ, пожалуйста, сообщите (gerkin<at>mail<dot>ru). Спасибо!
Уважаемый(ая) gk17, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: