драйвер ядра .sys

**Max2008** · 03.03.2008, 18:42

В ядре нашли подозрительный драйвер .sys
Как его удалить?
Был сделан дамп этого драйвера. Можем выслать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 03.03.2008, 18:46

C:\WINNT\winstart.bat - вот это ваш?
e5xfttApBCo.exe и вот это что за зверь?

Если Вы про .sys, то это нормальный драйвер.

**Max2008** · 03.03.2008, 18:54

C:\WINNT\winstart.bat - unchackme
e5xfttApBCo.exe - RKU

Добавлено через 4 минуты

А почему avz в ядре показывает ".sys" не зеленым а черным цветом?

**Макcим** · 03.03.2008, 20:14

Вероятно потому что его нет физически на диске.

**Max2008** · 03.03.2008, 20:26

А файл на диске и не виден, но в памяти драйвер есть.
Может ли нормальный драйвер не существовать на диске?
Не руткит ли это?

Добавлено через 4 минуты

Главное, можно ли выгрузить его из ядра насовсем, поскольку он не системный и как это сделать?

**PavelA** · 04.03.2008, 10:34

Думаю, что нельзя. У меня тоже 2к SP4 и в логах AVZ драйвер такой всегда присутствует.

**Макcим** · 04.03.2008, 10:44

Сообщение от Max2008

А файл на диске и не виден, но в памяти драйвер есть.
Может ли нормальный драйвер не существовать на диске?
Не руткит ли это?

Может. Смотря что понимать под руткитом, если вредоносную программу то нет, если маскирующийся драйвер то конечно руткит.

**Max2008** · 04.03.2008, 13:23

Мы руткит убили выполнив стандартный скрипт в AVZ удаление всех настроек AVZ и драйверов, а также деинсталировав алкаголь. Возможно это старый драйвер avz или алкоголя.

**Alex_Goodwin** · 04.03.2008, 22:14

ИМХО алкоголь.

драйвер ядра .sys (заявка № 19058)

Опции темы

драйвер ядра .sys

Похожие темы

Драйвер

Подозрение на вирус! Драйвер режима ядра pxlyrpow.sys

Непонятный драйвер в пространсве ядра

безымянный драйвер ядра

Драйвер в пространстве ядра (случайное имя файла)

Ваши права в разделе