Странные сообщения при проверке AVZ.

Printable View

23.05.2009, 14:36
adenin

Вложений: 3

Странные сообщения при проверке AVZ.

Доброго времени суток!
Вопрос возник из за наличия в логе AVZ странных сообщений:

1.5 Проверка обработчиков IRP
[COLOR="Red"]\FileSystem\ntfs[IRP_MJ_CREATE] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A8731F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A8731F8 -> перехватчик не определен[/COLOR]

И всё бы ничего, если бы эти "странные" сообщения не появились на домашней машине, ноутбуке и рабочей за последнюю неделю. Отличаются лишь значениями "8A8731F8".
До этого подобного не было замечено. Везде стоит NOD32 4. Ни CureIt, ни AVPTool самые свежие ничего не находят - всё чисто. Однако у меня эта ситуация вызывает подозрения.
Прикладываю логи с домашней машины.
23.05.2009, 15:09
adenin

Вложений: 3

Логи с ноутбука

[SIZE=2]лог с ноутбука:[/SIZE]
[SIZE=2]1.5 Проверка обработчиков IRP[/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_CREATE] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_WRITE] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_PNP] = 86F5E1D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_CREATE] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_CLOSE] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_WRITE] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_SET_EA] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]\FileSystem\FastFat[IRP_MJ_PNP] = 85FB01D8 -> перехватчик не определен[/COLOR][/SIZE]
23.05.2009, 15:45
AndreyKa

Это от DAEMON Tools. Если этих сообщений не было неделю назад, значит использовали старую версию AVZ.

Установите Adobe Acrobat Reader 9.1 или удалите старый.
Выполните процедуру описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
23.05.2009, 19:46
adenin

На ноутбуке удалил всё, что только мог. Сообщения на ноутбуке не исчезли.
DAEMON Tools на нем не было.
Процедуру отправки выполнил.

На домашнем удалил DAEMON Tools, сообщения так же не исчезли.
Процедуру отправки выполнил.
23.05.2009, 20:02
AndreyKa

[quote=adenin]DAEMON Tools на нем не было.[/quote]
3 января прошлого года было давно, могли и забыть что устанавливали.
23.05.2009, 20:38
adenin

[QUOTE=AndreyKa;406108]3 января прошлого года было давно, могли и забыть что устанавливали.[/QUOTE]
Просто его нет ни в спсике установленных программ, ни в Program Files.
Как его удалить?
23.05.2009, 20:56
AndreyKa

На ноутбуке в файле HOSTS прописаны адреса:
127.255.255.255 serial.alcohol-soft.com
...
Это означает, что был установлен Alcohol 120%. Он включает в себя драйвер DAEMON Tools.
23.05.2009, 20:58
adenin

удалил на ноутбуке ([B]и на домашнем тоже[/B]) файл sptd.exe и убрал его из процессов.
Всё чисто!
Спасибо за помощь!