1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B580)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552580
KiST = 80501354 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805CB7AA->F3C2BC10), перехватчик D:\Internet\Agnitum\Outpost Firewall\kernel\Sandbox.SYS, драйвер опознан как безопасный
...
Функция NtEnumerateKey (47) перехвачена (80619A6E->F72A7CA2), перехватчик spci.sys
Функция NtEnumerateValueKey (49) перехвачена (80619CD8->F72A8030), перехватчик spci.sys
Функция NtLoadDriver (61) перехвачена (80578848->F3C25830), перехватчик D:\Internet\Agnitum\Outpost Firewall\kernel\Sandbox.SYS, драйвер опознан как безопасный
Функция NtMakeTemporaryObject (69) перехвачена (805B0D84->F3C1E3F0), перехватчик D:\Internet\Agnitum\Outpost Firewall\kernel\Sandbox.SYS, драйвер опознан как безопасный
Подозрительный файл "spci.sys"
Подозрительный, т.к. после ребута и повторного сканирования имя файле меняется. Менются две последние буквы, т.е. маска такая sp*.sys
Найти этот файл через AVZ не удалось. Есть только sptd.sys - драйвер от Алгоколя.
Последний раз редактировалось pig; 03.07.2008 в 11:40.
Причина: убрал карантин
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: