Printable View
Привет! Это снова я!
Не раз обращался за помощью - всегда помогали - спасибо!
Сначала проверил Cureit и Combofix - результат - его просто нет.
Потом в ход пошел Haxfix и gmer.
Искал в гугле по строчке \FileSystem\ntfs[IRP_MJ_CREATE] очень мало информации.
Вобщем, пожалуйста логи.
Пожалуйста помогите!
в планировщике ваше задание ?
лог gmer приложите ...
и попробуйте демона удалить ... бывает он так шалит ...
[quote=V_Bond;215079]в планировщике ваше задание ?
на чем основаны подозрения насчет бут-руткита ?[/quote]
Задание мое.
Подозрения основаны на строчках вида
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86F6B1F8 -> перехватчик не определен
или это nod32 ?
[QUOTE=V_Bond;215079]
и попробуйте демона удалить ... бывает он так шалит ...[/QUOTE]
...
[quote=V_Bond;215082]...[/quote]
Я его специально снес перед снятием логов и перезагрузил комп.
Сейчас снесу нод на всякий случай.
Не могу прикрепить лог.
Извините он вроде короткий.
GMER 1.0.14.14205 - [url]http://www.gmer.net[/url]
Rootkit scan 2008-04-13 22:21:10
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT sprb.sys ZwEnumerateKey [0xF737CCA2]
SSDT sprb.sys ZwEnumerateValueKey [0xF737D030]
---- Devices - GMER 1.0.14 ----
Device \FileSystem\Ntfs \Ntfs 86F6B1F8
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys
---- EOF - GMER 1.0.14 ----
Делаю полный лог сейчас приложу.
Запустите Gmer. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
[code]
Сейчас снесу нод на всякий случай.
[/code]
нод этого делать не умеет ... пострадает невинно ... Daemon tools лучше деинсталируйте ...
Пожалуйста лог gmer.
Daemon tools снес задолго до снятия логов.
У Вас не буткит, а драйвер Даемон Тулз. Хоть Вы это удалили, а драйвер остался, от него не так просто избавиться.
[quote]---- System - GMER 1.0.14 ----
SSDT sprb.sys[/quote]
sp**.sys это от Даемон Тулз.
Спасибо! А как его удалить ? Через отложенное удаление можно ?
Вы уж простите что я тут ложную тревогу поднял, это все от того что в интернете ну очень много всего нового появляется.
Можно поискать в гугле удаление драйвера Daemon Tools, думаю, там много информации.
Все удалил через диспетчер служб и драйверов AVZ.
После этого логи стали чистыми.
Еще раз извините за ложную тревогу.