Собственно вот... AVZ определяет перехват. Имя перехватчика меняется при перезагрузке. Пока он был spkp.sys попытался выполнить скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('spkp.sys');
BC_DeleteSvc('spkp.sys');
BC_DeleteFile('spkp.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Результат
Quarantine path: \??\D:\Install\Антивир\avz4\Quarantine\2008-11-05\
Quarantine service file spkp.sys - failed (0xC0000001)
DeleteFile \??\spkp.sys - failed (0xC0000034)
Delete Service & File spkp.sys - succeeded
-- End --
В карантине пусто
В автозагрузке есть какой-то ctfmon.exe - AVZ не опознало его как безопасный по каталогу MS. Попытался убрать из автозагрузки - он там опять появился. Вобщем прошу помощи...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да, таки sptd.sys от даемона грузится - самого удалили, а драйвер остался - если поможете его не грузить спасибо. Но что это
Функция NtCreateKey (29) перехвачена (8061A312->F744D0E0), перехватчик spij.sys
Функция NtEnumerateKey (47) перехвачена (8061AB52->F746BCA2), перехватчик spij.sys
Функция NtEnumerateValueKey (49) перехвачена (8061ADBC->F746C030), перехватчик spij.sys
Функция NtOpenKey (77) перехвачена (8061B6E4->F744D0C0), перехватчик spij.sys
Функция NtQueryKey (A0) перехвачена (8061BA0A->F746C10
, перехватчик spij.sys
Функция NtQueryValueKey (B1) перехвачена (8061854A->F746BF8, перехватчик spij.sys
Функция NtSetValueKey (F7) перехвачена (80618898->F746C19A), перехватчик spij.sys
(теперь оно так назвалось)
и это
\FileSystem\ntfs[IRP_MJ_CREATE] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8598A1F8 -> перехватчик не определен
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: