Показано с 1 по 5 из 5.

ЧТо-то не то в обработчиках IRP (заявка № 24574)

  1. #1
    Junior Member Репутация
    Регистрация
    06.06.2008
    Сообщений
    2
    Вес репутации
    36

    Exclamation ЧТо-то не то в обработчиках IRP

    Что-то не то в работе ПК: операции с файлами стали намного более медленными, очень тормозит чтение с CD и flash-накопителей (последние ещё и не хотят останавливаться, если сдлеать принудительный останов выводит сообщение об ошибке "отложенного копирования"). При "тёплой перезагрузке" процесс эксплорера приходится каждый раз убивать - сам не выключается.

    Очень сильно волнует (как мне сказали, последние 5 строчек к CD-эмуляторам не относятся, Daemon и Alcohol никогда не ставились, Nero Image Drive полностью вырублен):

    \FileSystem\ntfs[IRP_MJ_CREATE] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 85DDAEA8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85BACA28 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 85BACA28 -> перехватчик не определен
    \driver\disk[IRP_MJ_CREATE] = 85DDA0E8 -> перехватчик не определен
    \driver\disk[IRP_MJ_CLOSE] = 85DDA0E8 -> перехватчик не определен
    \driver\disk[IRP_MJ_READ] = 85DDA0E8 -> перехватчик не определен
    \driver\disk[IRP_MJ_WRITE] = 85DDA0E8 -> перехватчик не определен
    \driver\disk[IRP_MJ_PNP] = 85DDA0E8 -> перехватчик не определен
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    У Вас есть C:\WINNT\system32\Drivers\sptd.sys
    C:\WINNT\System32\Drivers\SPTD2669.SYS
    Это от эмулятора дисков. Если их удалите и перезагрузитесь, то перехваты должны пропасть.
    Кое-что можно проверить.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('e:\programs\winamp535\plugins\comctrl.exe','');
     QuarantineFile('C:\WINNT\system32\Drivers\Mdusb.sys','');
     QuarantineFile('C:\WINNT\system32\slicedisk.sys','');
     QuarantineFile('C:\WINNT\system32\drivers\sglfb.sys','');
     QuarantineFile('C:\WINNT\system32\drivers\SECDRV.SYS','');
     QuarantineFile('L:\WIBU\H2O\cxwibu.sys','');
     QuarantineFile('C:\WINNT\system32\DRIVERS\vsc.sys','');
     QuarantineFile('C:\WINNT\System32\ATMsrvc.exe','');
     QuarantineFile('C:\WINNT\system32\drivers\JulaWdm.sys','');
     QuarantineFile('C:\WINNT\system32\drivers\Jula.sys','');
     QuarantineFile('C:\WINNT\System32\Drivers\COMPT.SYS','');
     QuarantineFile('c:\winnt\system32\julapan.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24574 ).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    06.06.2008
    Сообщений
    2
    Вес репутации
    36
    Цитата Сообщение от kps Посмотреть сообщение
    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24574 ).
    Послал. Странно, что туда julapan.exe попал - это относится к драйверам саунд-карты.

    Да, удалил оба файла драйвера - перехваты исчезли.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Цитата Сообщение от r_s_nemesis Посмотреть сообщение
    Послал. Странно, что туда julapan.exe попал - это относится к драйверам саунд-карты.
    Это просто копия для проверки Если чистый, то, естественно, трогать не будем.
    Подождем ответа аналитиков по поводу Вашего карантина.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) r_s_nemesis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. проверка обработчиков irp,
      От anatoliy999 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.07.2010, 22:39
    2. Перехватчик API и обработчики IRP
      От PM99 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 07.04.2010, 22:54
    3. Проверка обработчиков IRP
      От Antario в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 02.04.2009, 11:10
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 01:45
    5. проверка обработчиков IRP в AVZ
      От Lonely Soul в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 21.01.2009, 22:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00347 seconds with 17 queries