-
Junior Member
- Вес репутации
- 53
зараженна файловая система
здраствуйте.помогите разобратся ,после проверки авз в лог файле нашол такой пункт 1.5 Проверка обработчиков IRP одна из строк етого пункта
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD81F8 -> перехватчик не определен я не знаю связано ето с файловой системой или нет обясните пожалуста что ето такое и как с ним боротся(ета главный вопрос) и скажыте что у меня творится в общем (спасибо).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
-
Внимание !!!
База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
...
Восстановление системы:
включено
Непорядок!
Обновите базы, отключите восстановление и сделайте логи заново.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
...
Восстановление системы: включено
Непорядок!
Обновите базы, отключите восстановление и сделайте логи заново.
сделал все заново
-
Ничего плохого в логах не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Bratez
Ничего плохого в логах не видно.
понятно ,спасибо.
обясните мне а что означает етот пункт
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86FD81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FD81F8 -> перехватчик не определен - что ето такое и с чем связано
-
Алкоголь/Daemon Tools стояли на машине? Система нормальная или левая сборка?
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
pig
Алкоголь/Daemon Tools стояли на машине? Система нормальная или левая сборка?
алкоголь есть недавно установил. система лонер експи
-
Значит, Алкоголь. Хотя в сборке этот драйвер тоже может быть интегрирован изначально.
-
-
Junior Member
- Вес репутации
- 53
Значит, Алкоголь. Хотя в сборке этот драйвер тоже может быть интегрирован изначально.
А что за драйвер такой ,как он называется , он влияет на файловою систему - обясните пожалуста .
-
sptd.sys, драйвер эмулятора дисков.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
pig
sptd.sys, драйвер эмулятора дисков.
посмотрел про етот драйвер на вашем сайте , для его лечения написано нужно сделать скрипт begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('sptd');
SetServiceStart('sptd', 4);
StopService('sptd');
DeleteFile('D:\WINDOWS\System32\Drivers\sptd.sys') ;
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sptd');
BC_Activate;
RebootWindows(true);
end.
выполнил скрипт ,проверил снова авз , строки 1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86FD81F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FD81F8 -> перехватчик
уже нет .сделал новые логи - проверьте может что то осталось.
-
Сообщение от
tiam
алкоголь есть недавно установил
Вы его ставили специально затем, чтобы ломать?
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
pig
Вы его ставили специально затем, чтобы ломать?
Нет конечно ,но есть и другие програмы для записи,ломать я не хотел но лечить нужно было.Вы сказали что ето - sptd.sys, драйвер эмулятора дисков ,а что с ним делать удалять или лечить - не сказали .Хотя на форуме нашол способ его вылечить
Сообщение от pig
AVZ- Файл - Выполнить скрипт:
Код:
begin
QuarantinrFile('c:\windows\System32\Drivers\sptd.s ys','');
QuarantinrFile('c:\windows\System32\Drivers\vaxscs i.sys','');
end.
но скрипт не запустился ,даже после исправления 'Quarantin _r_ File' , там кстати вы писали как исправить етот драйвер , но почемуто вы про ето мне ничего не сказали ,не знаю может забыли . И я выполнил тот скрипт ,лечить нужно, а никто не посоветовал что делать ,вы только сказали что ето драйвер ,ну и за ето спасибо.
Вы скажыте етот драйвер - перехватчик или нет.
-
Вопрос: зачем лечить несломанное? Заразы у вас нет, Алкоголь именно так и работает. Потому как он не только для записи сидюков. А удалять его надо штатным образом, у него своя удалялка есть. Вот если после неё хвосты останутся - тогда да, действуем с помощью лома и неизвестной науке матери.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
pig
Вопрос: зачем лечить несломанное? Заразы у вас нет, Алкоголь именно так и работает. Потому как он не только для записи сидюков. А удалять его надо штатным образом, у него своя удалялка есть. Вот если после неё хвосты останутся - тогда да, действуем с помощью лома и неизвестной науке матери.
Вот теперь все понятно .Спасибо.С наступающим.