ЧТо-то не то в обработчиках IRP

[r_s_nemesis]

Что-то не то в работе ПК: операции с файлами стали намного более медленными, очень тормозит чтение с CD и flash-накопителей (последние ещё и не хотят останавливаться, если сдлеать принудительный останов выводит сообщение об ошибке "отложенного копирования"). При "тёплой перезагрузке" процесс эксплорера приходится каждый раз убивать - сам не выключается.

Очень сильно волнует (как мне сказали, последние 5 строчек к CD-эмуляторам не относятся, Daemon и Alcohol никогда не ставились, Nero Image Drive полностью вырублен):

\FileSystem\ntfs[IRP_MJ_CREATE] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85DDAEA8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85DDAEA8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85BACA28 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 85BACA28 -> перехватчик не определен
\driver\disk[IRP_MJ_CREATE] = 85DDA0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = 85DDA0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = 85DDA0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = 85DDA0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = 85DDA0E8 -> перехватчик не определен

[kps]

У Вас есть C:\WINNT\system32\Drivers\sptd.sys
C:\WINNT\System32\Drivers\SPTD2669.SYS
Это от эмулятора дисков. Если их удалите и перезагрузитесь, то перехваты должны пропасть.
Кое-что можно проверить.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('e:\programs\winamp535\plugins\comctrl.exe','');
 QuarantineFile('C:\WINNT\system32\Drivers\Mdusb.sys','');
 QuarantineFile('C:\WINNT\system32\slicedisk.sys','');
 QuarantineFile('C:\WINNT\system32\drivers\sglfb.sys','');
 QuarantineFile('C:\WINNT\system32\drivers\SECDRV.SYS','');
 QuarantineFile('L:\WIBU\H2O\cxwibu.sys','');
 QuarantineFile('C:\WINNT\system32\DRIVERS\vsc.sys','');
 QuarantineFile('C:\WINNT\System32\ATMsrvc.exe','');
 QuarantineFile('C:\WINNT\system32\drivers\JulaWdm.sys','');
 QuarantineFile('C:\WINNT\system32\drivers\Jula.sys','');
 QuarantineFile('C:\WINNT\System32\Drivers\COMPT.SYS','');
 QuarantineFile('c:\winnt\system32\julapan.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24574 ).

[r_s_nemesis]

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24574 ).

Послал. Странно, что туда julapan.exe попал - это относится к драйверам саунд-карты.

Да, удалил оба файла драйвера - перехваты исчезли.

[kps]

Послал. Странно, что туда julapan.exe попал - это относится к драйверам саунд-карты.

Это просто копия для проверки Если чистый, то, естественно, трогать не будем.
Подождем ответа аналитиков по поводу Вашего карантина.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения вредоносные программы в карантинах не обнаружены