Kernel RootKit

Добрый день!

AVZ выдает такое:
[QUOTE][SIZE=2]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=084700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B700
KiST = 80504420 (284)
[/SIZE][SIZE=2][COLOR=#ff0000]Функция NtCreateKey (29) перехвачена (8062252E->F72890E0), перехватчик spuc.sys
Функция NtEnumerateKey (47) перехвачена (80622D6E->F72A6CA2), перехватчик spuc.sys
Функция NtEnumerateValueKey (49) перехвачена (80622FD8->F72A7030), перехватчик spuc.sys
Функция NtOpenKey (77) перехвачена (806238C4->F72890C0), перехватчик spuc.sys
Функция NtQueryKey (A0) перехвачена (80623BE8->F72A7108), перехватчик spuc.sys
Функция NtQueryValueKey (B1) перехвачена (806205E8->F72A6F88), перехватчик spuc.sys
Функция NtSetValueKey (F7) перехвачена (80620BEE->F72A719A), перехватчик spuc.sys
[/COLOR][/SIZE][/QUOTE]

После выполнения поиска и нейтрализации пропадает до перезагрузки, после перезагрузки появляется вновь меня название на sp??.sys

то что вы выделили красным- это проделки вашего эмулятора дисков( алкоголя).волноваться по этому поводу не следует.
Вы случаем IceSword устанавливали в систему?


[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\umonit.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\IsDrv122.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
После выполнения скрипта компьютер перезагрузится.
Прислать весь карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21451[/url]

AVZ у Вас подозревает наличие файлового вируса.
После скрипта от [b]drongo[/b] и когда пришлете карантин, выполните еще такой [url=http://virusinfo.info/showthread.php?t=7239]скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
QuarantineFile('C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe','');
QuarantineFile('C:\gamez\BioShock\bioshockFOV.exe','');
QuarantineFile('C:\Downloads\Smartphone\CompanionLink\CompanionLink.Pro.v2.0.2645\cl_kg.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=21451[/url] ).

[quote=drongo;214890]то что вы выделили красным- это проделки вашего эмулятора дисков( алкоголя).волноваться по этому поводу не следует.
Вы случаем IceSword устанавливали в систему?
[/quote]

Да установил IceSword, долго потом искал откуда IsDrv122.sys берется.
Алкоголь и даемон тулс удалил, этот sp??.sys остался

[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]

[quote=kps;214895]AVZ у Вас подозревает наличие файлового вируса.
После скрипта от [B]drongo[/B] и когда пришлете карантин, выполните еще такой [URL="http://virusinfo.info/showthread.php?t=7239"]скрипт в AVZ[/URL]:

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] (загружать здесь: [URL]http://virusinfo.info/upload_virus.php?tid=21451[/URL] ).[/quote]

выполнил и выслал.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]