Добрый день.
при проверки AVZ
пишет перехватчик sp??.sys (в место вопросов после удаления и перезагрузки меняются символы (имя файла)). А так же много запесей типа
\FileSystem\ntfs[IRP_MJ.........= 8A6381F8 -> перехватчик не определен
Помогите как с этим боротся.???
Логи вложил.
Заранее благодарен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В логах ничего подозрительного не видно.
Перехваты сами по себе - не признак заражения, их делают и легитимные программы. sp??.sys - это от эмулятора дисковода (Alcohol120, Daemon Tools).
а как определить какая программа это делает. Я копировал диск к себе(нужные данные)на котором было много вирусов. После этого avz стал выдовать эти прехвадчики. + Я еще ставил одну программы от платы видеоконтроля, но ее удалил. Так, что что то произошло именно тогда. т.к. после этих манипуляций началось. 1. Вместо быстрого режим выбора пользователя, стал использоватся режим где ручками надо писать имя пользователя. 2.Комп перестал уходить в ждущий режим по нажатию клавиши на клавиатуре (ругался типа програма ...(не помню как называлась, но это как раз от платы видеоконтроля) не дает передти в ждущий режим. Кучу всего поудалял. 2 недели маюсь. Сегодня принтер не стал работать. Отключаю его, подключаю он определяет как составное устройство USB и не работает. При переустановки драйверов ставится как lpt хотя он Usb. очень хочется разобратся в чем дело а не переустанавливать винду. Подскажите что это еще может быть?? Еще одно замечание! Почему при включенном AvzGuard перехвадчик перехватчик sp??.sys не определяется? и почему у него имя меняется при каждом удолении и перезагрузке?
попробывал программу Rootkit Unhooker в перехвате он выдал вот такой рапорт.
RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.8.342.554
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
ntkrnlpa.exe+0x0002D83C, Тип: Inline - RelativeCall по адресу 0x8050483C обработчик перехватчика расположен в [unknown_code_page]
ntkrnlpa.exe+0x0006EC7E, Тип: Inline - RelativeJump по адресу 0x80545C7E обработчик перехватчика расположен в [ntkrnlpa.exe]
[564]ekrn.exe-->kernel32.dll-->SetUnhandledExceptionFilter, Тип: Inline - PushRet по адресу 0x7C8449FD обработчик перехватчика расположен в [unknown_code_page]
[4052]iexplore.exe-->user32.dll-->DialogBoxParamW, Тип: Inline - RelativeJump по адресу 0x7E3747AB обработчик перехватчика расположен в [ieframe.dll]
[4052]iexplore.exe-->user32.dll-->DialogBoxIndirectParamW, Тип: Inline - RelativeJump по адресу 0x7E382072 обработчик перехватчика расположен в [ieframe.dll]
[4052]iexplore.exe-->user32.dll-->MessageBoxIndirectA, Тип: Inline - RelativeJump по адресу 0x7E38A082 обработчик перехватчика расположен в [ieframe.dll]
[4052]iexplore.exe-->user32.dll-->DialogBoxParamA, Тип: Inline - RelativeJump по адресу 0x7E38B144 обработчик перехватчика расположен в [ieframe.dll]
[4052]iexplore.exe-->user32.dll-->MessageBoxExW, Тип: Inline - RelativeJump по адресу 0x7E3A0838 обработчик перехватчика расположен в [ieframe.dll]
[4052]iexplore.exe-->user32.dll-->MessageBoxExA, Тип: Inline - RelativeJump по адресу 0x7E3A085C обработчик перехватчика расположен в [ieframe.dll]
[4052]iexplore.exe-->user32.dll-->DialogBoxIndirectParamA, Тип: Inline - RelativeJump по адресу 0x7E3A6D7D обработчик перехватчика расположен в [ieframe.dll]
[4052]iexplore.exe-->user32.dll-->MessageBoxIndirectW, Тип: Inline - RelativeJump по адресу 0x7E3B64D5 обработчик перехватчика расположен в [ieframe.dll]
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: