89C0A1E8 -> перехватчик не определен

**Don Pedro Almadovar** · 05.05.2010, 10:42

Просканил AVZ вылезла такая вот муть -
\FileSystem\ntfs[IRP_MJ_CREATE] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89C0A1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89C0A1E8 -> перехватчик не определен
-----------------------------------
Внимания сразу не придал, но дальше начались проблемы.
В общем мучился я долго и решил принять критические меры.
Скопировал нужные файлы на второй физический (типа логический)жёсткий диск, и отключил его для верности.
Отформатировал первый (типа загрузочный)жёсткий диск с одношаговым удалением всей информации, установил изначально чистую операционную систему, просканировал AVZ - всё нармуль, муть исчезла!!
Подключил второй жёсткий диск, просканил для верности, всё так же нармуль!!
-----------------------------------
У меня на одном из разделов лежат четыре перепрошитых дистрибутива Windows, делал для себя, для личного использования, каждая под разные нужды.
Записал одну из систем на компакт диск, установил на другой раздел(Е:\) (на одном жёстком диске), после установки сразу просканировал AVZ и точно такая же муть вылезла опять !!
Загрузил систему с раздела С:\ и там вылезло то же самое, хотя раздел C:\, до установки на раздел E:\, был чистым!!
По логике - зараза лежит уже в дистрибутивах.
Что это и как это лечится???
Каким образом мне вылечить дистрибутивы?
С рабочими системами уже ладно, разберусь критически, но вот дистрибутивы!!!
Два года работы, потерять никак нельзя!!!!
перепробовал большинство антивирей, антитроянов и т.п. никаких результатов!!
-----------------------------------
На счет программ-
FileBXH.dll - встраивает дополнительные кнопки в шапку explorer'ra и некоторых программ.
Executor\wingrab.dll - типа альтернативная консоль.
KnowExt.exe - распознаёт файлы по расширению, детская конечно штука.
С данными программами проблем не было.
До того как началась подобная муть хватал KIDO и ещё какую то дрянь с плешкарты, уже не помню.
-----------------------------------
И пожалуйста, объясните мне - \FileSystem\ntfs - это получается что, что то сидит в потоках NTFS, в самой файловой системе??
Что это и как это возможно?!

-----------------------------------
С уважением - Виктор

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 05.05.2010, 11:22

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ и переделайте логи + лог hijack

**Don Pedro Almadovar** · 06.05.2010, 01:32

Не могу обновить AVZ, выдаёт: загруженный файл повреждён - main037.avz
При попытки выполнить скрипт AVZ вешает обе системы намертво!!
Просканировал обе системы hijack и GMER.
Cканирование, сегодня днём, AVZ на разных системах выдавало разные результаты по поводу неопределённых перехватчиков.

**Don Pedro Almadovar** · 06.05.2010, 23:54

Обновил AVZ, просканировал раздел С:\ и раздел E:\.

**Don Pedro Almadovar** · 07.05.2010, 12:12

блин,проверил в онлайне несколько exe'шок с разных разделов, во всех обнаружен Virus.Win32.Sality.aa.

**polword** · 07.05.2010, 12:27

Пролечитесь так

**Don Pedro Almadovar** · 07.05.2010, 21:39

Спасибо за совет.
Сканировал из под live-CD системы утилитой SalityKiller.exe и Kaspersky Virus Removal Tool, после просканировал из под рабочей системы,
Вирус Sality больше не находит, вроде очистил.
Неопределённые перехватчики так и остались.
Мыша стала конкретно подглюкивать, в интернет выхожу с трудом – долго и упорно(диалап)

Добавлено через 18 минут

Проверил в онлайне те же exe'шки - всё чисто.

**polword** · 07.05.2010, 23:44

Сделайте комплект логов

**Don Pedro Almadovar** · 08.05.2010, 00:38

По поводу - "Ограничение отображения дисков в проводнике
" на разделе E:\.
В автозапуске висит батник заприщающий доступ ко всем разделам жёсткого диска.
Система используется как игровая ось и кроме меня ещё есть кому там полазить, ну возможно это и есть причина всех проблем, делал это чтобы кроме рабочего стола небыло никуда доступа.
Просто забыл отключить, сорри

.

**polword** · 08.05.2010, 00:45

- Выполните скрипт в AVZ

Код:

begin
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;

**Don Pedro Almadovar** · 08.05.2010, 01:12

7.09 mb - для моего интернета я месяц буду такой объём закачивать!!! и не факт ещё что меня разов 5-6 не выбъет! это не реально.

**Don Pedro Almadovar** · 08.05.2010, 12:49

Я прошу простить меня великодушно, но с загрузкой карантина проблемы, слишком большой объём для моего интернета. Вчера до трёх ночи пытался и сейчас уже какой раз пробую.
Буду пытаться загрузить пока деньги не кончатся. скорость 1,5-2 Кб., +-1Кб.

**Шапельский Александр** · 08.05.2010, 15:24

Что сейчас с проблемой?

**Don Pedro Almadovar** · 09.05.2010, 00:40

Обе системы работают стабильно. Видимых признаков накаких не наблюдаю хотя перехватчики остались.
Sality больше не выявляется.
В дистрибутивах не знаю, не тестировал.
-----------------------------------------
А если -
Форматирую заново жёсткий диск, ставлю заведомо чистую ось на раздел C:\, сразу, ничего не меняя, делаю комплект логов.
После пишу диск с дистрибутива на жёстком диске и ставлю ось на раздел E:\.
Делаю комплект логов с C:\ и E:\, Отсылаю все сделанные логи сюда.
Возможно таким образом можно будет сверить чистую и грязную системы (C:\) на изменения и выявить причину?

Добавлено через 14 минут

кто нибудь хотя бы образно объяснит что это вообще за неопределённые перехватчики? перехватчики чего? если прехватывают - куда девают

?

**polword** · 09.05.2010, 13:38

Сообщение от Don Pedro Almadovar

хотя перехватчики остались.

где перехватчики?

**Don Pedro Almadovar** · 09.05.2010, 23:32

На обоих разделах, C:\ и E:\.
-----------------------------
Простите что отнял у вас время.
Чую толку с этого нифига не будет!
Принципиально никогда и ни у кого не просил помощи так как считаю что каждый человек должен быть автономным и находить решения самостоятельно, просто новерное сильно побоялся за дистрибутивы.
Разберусь и с этой проблемой.
Счастья и удачи.
Свободу Анджеле Дэвис.
Большое спасибо тем кто откликнулся.