RKU показал мне хуки
ntoskrnl.exe+0x00005B12, Type: Inline - RelativeJump 0x804DCB12 [ntoskrnl.exe]
ntoskrnl.exe+0x0000D99C, Type: Inline - RelativeJump 0x804E499C [ntoskrnl.exe]
и еще в SSDT (их видно в отчете AVZ)
Вижу что сидят в драйверах три одинаковых sptd,sphl.sys и pci_pnp7720.sys по размеру, но разные по содержимому.
sphl.sys при каждой перезагрузке называется по новому типа sp??.sys, pci_pnp7720.sys тоже меняет названия (цифры)
отчеты AVZ и сдампленные фалы прилагаю
(virustotal тремя из всех показал на вредоносный код в них)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Daemon Tools у меня не стоит.
Файлов таких в системе нету.
Хуки на fastfat и ntfs тоже Daemon Tools?
Хуки на реестр ему зачем?
Добавлено через 1 час 30 минут
Перебдел, спасибо за науку
Sptd.sys comes with a number of Drive Emulation and Disc Mastering software, including Daemon Tools and Alcohol (120% and 52%). Duplex Secure claims sptd.sys is a security benefit. But the software itself acts like a rootkit. And, while it has nothing to do with networks, it somehow disrupts network connections. When the original software (Alcohol, for example) is removed this driver stays in place. It is particularly hard to remove (a number of abnormally protected registry keys + the driver file).
Последний раз редактировалось Dudka; 16.01.2009 в 19:39.
Причина: Добавлено
Уважаемый(ая) Dudka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: