Перехватчик spkp.sys spsv.sys spvz.sys

**IntelInside** · 05.11.2008, 17:37

Собственно вот... AVZ определяет перехват. Имя перехватчика меняется при перезагрузке. Пока он был spkp.sys попытался выполнить скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('spkp.sys');
BC_DeleteSvc('spkp.sys');
BC_DeleteFile('spkp.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Результат
Quarantine path: \??\D:\Install\Антивир\avz4\Quarantine\2008-11-05\
Quarantine service file spkp.sys - failed (0xC0000001)
DeleteFile \??\spkp.sys - failed (0xC0000034)
Delete Service & File spkp.sys - succeeded
-- End --
В карантине пусто
В автозагрузке есть какой-то ctfmon.exe - AVZ не опознало его как безопасный по каталогу MS. Попытался убрать из автозагрузки - он там опять появился. Вобщем прошу помощи...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 05.11.2008, 17:59

Файлы sp...sys от Demon tools. AVZ не опознало ctfmon.exe из-за того, что на Windows установленна какая-то не стандартна тема.
В логах все нормально.

**Rene-gad** · 05.11.2008, 18:00

Обновите JavaRE, больше ничего подозрительного не вижу.
ПС: Выполнять самодельные скрипты мы категорически не рекомендуем.

**IntelInside** · 05.11.2008, 19:01

Да, таки sptd.sys от даемона грузится - самого удалили, а драйвер остался - если поможете его не грузить спасибо. Но что это
Функция NtCreateKey (29) перехвачена (8061A312->F744D0E0), перехватчик spij.sys
Функция NtEnumerateKey (47) перехвачена (8061AB52->F746BCA2), перехватчик spij.sys
Функция NtEnumerateValueKey (49) перехвачена (8061ADBC->F746C030), перехватчик spij.sys
Функция NtOpenKey (77) перехвачена (8061B6E4->F744D0C0), перехватчик spij.sys
Функция NtQueryKey (A0) перехвачена (8061BA0A->F746C10
, перехватчик spij.sys
Функция NtQueryValueKey (B1) перехвачена (8061854A->F746BF8, перехватчик spij.sys
Функция NtSetValueKey (F7) перехвачена (80618898->F746C19A), перехватчик spij.sys

(теперь оно так назвалось)

и это

\FileSystem\ntfs[IRP_MJ_CREATE] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8598A1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8598A1F8 -> перехватчик не определен

Извините ежели че за назойливость

**Гриша** · 05.11.2008, 19:11

Драйвер остается даже после удаления, если хотите сделайте логи, удалим скриптом...

**IntelInside** · 05.11.2008, 19:12

Вать его мать. Удалил sptd в диспетчере - все прошло. Все чисто. Блин. День на смарку. Руки отрывать этим даеманам. Всем спасибо. Закрыта.

Перехватчик spkp.sys spsv.sys spvz.sys (заявка № 33344)

Опции темы

Перехватчик spkp.sys spsv.sys spvz.sys

Похожие темы

перехватчики

Перехватчики

Перехватчик Kernel и неопределенные перехватчики

Что за перехватчик s***.sys?

Код перехватчика нейтрализован. Перехватчик spxj.sys

Ваши права в разделе