Printable View
Вставил в комп флешку и решил её проверить с помощью AVZ и вижу что нужно блокировать работу RootKit Kernel-Mode (компьютер до этих действий проверял этой же AVZ и ничего не было). Отметил галочкой что нужно блокировать. Прошло скарование и вроде бы всё заблокировалось. А после перезагрузки опять AVZ детектирует наличие RootKit Kernel-Mode. Провёл тестирование по инструкции. Логи присоединил. Помогите, плиз.
Нет у вас никакого руткита.
Модуль [B]sp??.sys[/B], перехватывающий некоторые функции, принадлежит эмулятору CD.
я удалил эмулятор CD и при проверке все равно выскакивает Rootkit... Если можно тогда объясните от куда ещё появляется и что это такое обведённое красным в отчёте AVZ
Вы удалили саму программу, но драйвер остался.
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');
BC_DeleteSvc('sptd');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Теперь этих перехватов не будет.
Свкрипт выполнил, комп перезагрузился - а перехватчики остались. и имя файлов после перезагрузки и проверки меняется. сейчас это spjk.sys.
Попробуйте набрать в командной строке:
[B]SC STOP SPTD
SC DELETE SPTD[/B]
Сообщите ответы системы.
Повторите лог [I]virusinfo_syscheck[/I].
после выполнения в командной строке данных команд система написала: "OpenService FAILED 10060:"
после перезагрузки AVZ по прежнему детектирует Rootkit:( и во время проверки не находит что нейтрализовать... :) Остался какой-то CALLBack который постоянно AVZ нейтрализует.:(. Два лога AVZ прикладываю и картинку со сканирования...
В логах чисто
Посмотрите, пожалуйста, в графический файл. Я там красненьким обвёл то, что появляется каждый раз после перезагрузки. Что это такое? Почему всё таки при запуске AVZ детектируется присутствие RootKit? И от куда вылазит CallBack которого AVZ постоянно нейтрализует?
Все нормально в логах и на скриншоте тоже
[QUOTE='Андрей П;732872']Почему всё таки при запуске AVZ детектируется присутствие RootKit?[/QUOTE]
То, что вы обвели на скриншоте, это всего лишь опции для сканирования, а вовсе не индикация присутствия rootkit. Видимо, вас смутил красный цвет надписи, но это просто предупреждение: такая операция может нарушить работу некоторых программ, например антивируса, поэтому после нее обязательно следует перезагрузить компьютер, об этом потом в протоколе написано.
CallBack - это тоже не значит, что зараза есть.
[QUOTE=Bratez;733406]То, что вы обвели на скриншоте, это всего лишь опции для сканирования, а вовсе не индикация присутствия rootkit. Видимо, вас смутил красный цвет надписи, но это просто предупреждение: такая операция может нарушить работу некоторых программ, например антивируса, поэтому после нее обязательно следует перезагрузить компьютер, об этом потом в протоколе написано.
CallBack - это тоже не значит, что зараза есть.[/QUOTE]
какой может быть CallBack если у меня постоянное подключение к инету по сети? и его раньше не было...
[QUOTE='Андрей П;733676']какой может быть CallBack если у меня постоянное подключение к инету по сети?[/QUOTE]
Да причем тут ваше подключение? Если вы не в курсе, о чем речь - поверьте на слово и не морочьте голову.
Спасибо... за разъяснения...;) и за помощь:) с меня:beer: тему можно закрывать.