В ядре нашли подозрительный драйвер .sys
Как его удалить?
Был сделан дамп этого драйвера. Можем выслать.
Printable View
В ядре нашли подозрительный драйвер .sys
Как его удалить?
Был сделан дамп этого драйвера. Можем выслать.
C:\WINNT\winstart.bat - вот это ваш?
e5xfttApBCo.exe и вот это что за зверь?
Если Вы про .sys, то это нормальный драйвер.
C:\WINNT\winstart.bat - unchackme
e5xfttApBCo.exe - RKU
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
А почему avz в ядре показывает ".sys" не зеленым а черным цветом?
Вероятно потому что его нет физически на диске.
А файл на диске и не виден, но в памяти драйвер есть.
Может ли нормальный драйвер не существовать на диске?
Не руткит ли это?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Главное, можно ли выгрузить его из ядра насовсем, поскольку он не системный и как это сделать?
Думаю, что нельзя. У меня тоже 2к SP4 и в логах AVZ драйвер такой всегда присутствует.
[QUOTE=Max2008;196386]А файл на диске и не виден, но в памяти драйвер есть.
Может ли нормальный драйвер не существовать на диске?
Не руткит ли это?[/QUOTE]Может. Смотря что понимать под руткитом, если вредоносную программу то нет, если маскирующийся драйвер то конечно руткит.
Мы руткит убили выполнив стандартный скрипт в AVZ удаление всех настроек AVZ и драйверов, а также деинсталировав алкаголь. Возможно это старый драйвер avz или алкоголя.
ИМХО алкоголь.