AVZ находит что-то непонятное при проверки обработчиков IRP
Пример
Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8637A1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8637A1D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85FBE498 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 85FBE498 -> перехватчик не определен
И вот
Функция NtCreateKey (29) перехвачена (80622048->F72BF0B0), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (80622888->F72C3D1C), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80622AF2->F72C40BC), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (806233DE->F72BF090), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (80623702->F72C4194), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (80620102->F72C4014), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80620708->F72C4226), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys
Что это может быть, и как с этим боротся?
Заранее спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: