-
Вложений: 2
Подозрительный sp*.sys
Вот часть лога от AVZ
[quote]1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B580)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552580
KiST = 80501354 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805CB7AA->F3C2BC10), перехватчик D:\Internet\Agnitum\Outpost Firewall\kernel\Sandbox.SYS, драйвер опознан как безопасный
...
Функция NtEnumerateKey (47) перехвачена (80619A6E->F72A7CA2), перехватчик spci.sys
Функция NtEnumerateValueKey (49) перехвачена (80619CD8->F72A8030), перехватчик spci.sys
Функция NtLoadDriver (61) перехвачена (80578848->F3C25830), перехватчик D:\Internet\Agnitum\Outpost Firewall\kernel\Sandbox.SYS, драйвер опознан как безопасный
Функция NtMakeTemporaryObject (69) перехвачена (805B0D84->F3C1E3F0), перехватчик D:\Internet\Agnitum\Outpost Firewall\kernel\Sandbox.SYS, драйвер опознан как безопасный[/quote]Подозрительный файл "spci.sys"
Подозрительный, т.к. после ребута и повторного сканирования имя файле меняется. Менются две последние буквы, т.е. маска такая sp*.sys
Найти этот файл через AVZ не удалось. Есть только sptd.sys - драйвер от Алгоколя.
-
sp??.sys - это тоже Алкоголь. Дочерний драйвер sptd, на диске его нет, он только в памяти висит.
Правила надо читать внимательнее. virusinfo_cure - это карантин, в тему надо вешать virusinfo_[b]sys[/b]cure.
Page generated in 0.00826 seconds with 10 queries