Имя драйвера меняется при перезагрузе, на диске такого файла нет.
у меня паранойя? :wacko:
Printable View
Имя драйвера меняется при перезагрузе, на диске такого файла нет.
у меня паранойя? :wacko:
acqe62q4.SYS - вот этот беспокоит?
да
Даемон или Алкоголь.
алкоголь деинсталировал перед установкой avzpm, хотя следы демонтулз в системе есть, но по факту на кампе его нет
может кто помнит аналогичные случаи?
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
--- в логах с AVZPM
понимаю что здесь не место для дискуссий, но не совсем понял Ваш предыдущий пост, на что обратить внимание на "Прямое чтение" или на драйвер демонтулз? :)
если это драйвер демонтулза или алкоголя, то почему на других кампах он не проявляется в виде acqe62q4.SYS и ему подобных?
ЗЫ: может перенести тему в другой раздел?
Можно просто с него снять дамп и прислать сюда на проверку. Это в AVZ ручками сделать можно.
как руками снять дамп?
[CODE]Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\a816l2u8.SYS)
Карантин с использованием прямого чтения - ошибка[/CODE]
Сервис - Модули пространства ядра - вверху кнопочка "Снять дамп"
ууу, как все запущено :)
отправил дамп как карантин.
Ответ пришел:
a816l2u8.dmp
No malicious code was found in this file.
По внутренностям: попросим кого-нибудь из наших посмотреть.
очень странный драйвер, внутри почти нечитаемый, вначале фраза [B]Richi[/B], и почти в самом конце в юникоде "[B]\DosDevices\ :[/B]" прийдется поискать по всемудиску файлы в которых есть эти строки.
Но если у кого-то есть какие соображения, говорите.
Если этот вопрос интересен для Вас, то придется немного подождать.
Все это относится к исследованиям, не к лечению. Есть терпение, подождите.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]