Показано с 1 по 6 из 6.

Перехватчик spkp.sys spsv.sys spvz.sys (заявка № 33344)

  1. #1
    Junior Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    15
    Вес репутации
    30

    Thumbs up Перехватчик spkp.sys spsv.sys spvz.sys

    Собственно вот... AVZ определяет перехват. Имя перехватчика меняется при перезагрузке. Пока он был spkp.sys попытался выполнить скрипт
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_QrSvc('spkp.sys');
    BC_DeleteSvc('spkp.sys');
    BC_DeleteFile('spkp.sys');
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.
    Результат
    Quarantine path: \??\D:\Install\Антивир\avz4\Quarantine\2008-11-05\
    Quarantine service file spkp.sys - failed (0xC0000001)
    DeleteFile \??\spkp.sys - failed (0xC0000034)
    Delete Service & File spkp.sys - succeeded
    -- End --
    В карантине пусто
    В автозагрузке есть какой-то ctfmon.exe - AVZ не опознало его как безопасный по каталогу MS. Попытался убрать из автозагрузки - он там опять появился. Вобщем прошу помощи...
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Файлы sp...sys от Demon tools. AVZ не опознало ctfmon.exe из-за того, что на Windows установленна какая-то не стандартна тема.
    В логах все нормально.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Обновите JavaRE, больше ничего подозрительного не вижу.
    ПС: Выполнять самодельные скрипты мы категорически не рекомендуем.

  5. #4
    Junior Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    15
    Вес репутации
    30
    Да, таки sptd.sys от даемона грузится - самого удалили, а драйвер остался - если поможете его не грузить спасибо. Но что это
    Функция NtCreateKey (29) перехвачена (8061A312->F744D0E0), перехватчик spij.sys
    Функция NtEnumerateKey (47) перехвачена (8061AB52->F746BCA2), перехватчик spij.sys
    Функция NtEnumerateValueKey (49) перехвачена (8061ADBC->F746C030), перехватчик spij.sys
    Функция NtOpenKey (77) перехвачена (8061B6E4->F744D0C0), перехватчик spij.sys
    Функция NtQueryKey (A0) перехвачена (8061BA0A->F746C10
    , перехватчик spij.sys
    Функция NtQueryValueKey (B1) перехвачена (8061854A->F746BF8, перехватчик spij.sys
    Функция NtSetValueKey (F7) перехвачена (80618898->F746C19A), перехватчик spij.sys

    (теперь оно так назвалось)

    и это

    \FileSystem\ntfs[IRP_MJ_CREATE] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8598A1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8598A1F8 -> перехватчик не определен

    Извините ежели че за назойливость

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Драйвер остается даже после удаления, если хотите сделайте логи, удалим скриптом...

  7. #6
    Junior Member Репутация
    Регистрация
    02.10.2008
    Сообщений
    15
    Вес репутации
    30
    Вать его мать. Удалил sptd в диспетчере - все прошло. Все чисто. Блин. День на смарку. Руки отрывать этим даеманам. Всем спасибо. Закрыта.

  • Уважаемый(ая) IntelInside, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. перехватчики
      От mxman в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 12.10.2009, 00:19
    2. Перехватчики
      От Water в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.10.2009, 20:31
    3. Ответов: 1
      Последнее сообщение: 31.05.2008, 20:33
    4. Что за перехватчик s***.sys?
      От Hotabych в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.03.2008, 14:11
    5. Ответов: 2
      Последнее сообщение: 12.02.2008, 15:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01392 seconds with 22 queries