Printable View
Из лога видно, что перехвачены Kernel-mode API и User-Mode API. Для ядровых функций перехватчик каждый раз после перезагрузки возвращается с новым именем. В прошлый раз было что-то вроде spuu.sys, похоже перебирает названия из своего внутреннего списка.
Также смущает перехват IRP.
Подскажите, как с этой заразой бороться, пожалуйста.
Спасибо.
На всякий случай AVZ`ом снял дамп одного из прошлых таких перехватчиков - он приложен.
Прикладываю логи AVZ и HiJackTHis!
В логах чисто...
а как же модуль пространства ядра spam.sys и вот это:
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A4541F8 -> перехватчик не определен
?
[quote=Гриша;337699]В логах чисто...[/quote]
Также погляди пожалйста лог avptool_syscheck.zip.
В логах AVZ чисто, потому что перехваты были убраны Virus Removal Tool Касперского. Но после перезагрузки все возвращается в прежнее состояние. Через несколько минут выложу логи сразу после ребута.
Эмулятор дисков...