Printable View
После очередной проверки компьютера утилитой AVZ, обнаружился перехватчик, который изменяет свое имя после каждой перезагрузки. Это поведение кажется странным и смахивает на руткит, поэтому прошу помочь разобраться безопасный ли это перехватчик или нет.
Имя файла всегда имеет вид sp**.sys(где *- произвольная буква). Перехватываемые фукции видно в прилогаемых логах. По работе компьютера нет претензий.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
sp**.sys - это от эмулятора дисков ....
Карантин не удался. Увидел только красную строку об ошибке карантина причины не успел заметить, так как комп ушел в перезагрузку.
в логах ничего подозрительного ...
Спасибо.
Этот лоадер ICQ, вроде, поставила для некоторых игр. Меня больше перехватчик беспокоил, но раз он безопасный, то вопросов больше нет.
popcaploader.dll - Downloader.PopCapLoader - адварь ...
Возьму на заметку, так как сам, с недавнего времени, занимаюсь выведением всякой гадости:). Если есть где об этом(выведении вирей) можно почитать подробнее, то киньте ссылочку, пожалуйста.
например [url]http://z-oleg.com/[/url]