[QUOTE]ещё в логе есть необычные неопределённые перехватчики[/QUOTE]
Это эмулятор дисков, KIDO не трогает IRP обработчики...
Printable View
[QUOTE]ещё в логе есть необычные неопределённые перехватчики[/QUOTE]
Это эмулятор дисков, KIDO не трогает IRP обработчики...
Вот решил еще немного поэкспериментировать с другим трояном, про который писал выше:
Недавно один из компьютеров оказался зараженным вирусом Trojan.Win32.Small.bxz. Этот вирус детектировался KAV, DrWeb, Avira. Но AVZ не обнаруживал в системе ничего подозрительного. Инфицированный файл не фигурировал ни в списке загруженных драйверов, ни вообще нигде в отчетах.
Более того, при попытке его удалить или переименовать, этот файл восстанавливался. Не помогал даже включенный режим AVZGuard. Кстати, сам файл заблокирован от удаления или переименования не был.
Вирус блокировал загрузку программ cmd, regedit, regedt32, что затрудняло его обнаружение в системе и лечение. Однако, в безопасном режиме он не загружался, что позволило его в конце-концов удалить.
У меня создалось впечатление, что AVZ вообще не проверяет ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 на предмет загруженных драйверов. А этот вирус как раз там и прописывался.
Конечно, у Kido совсем другие методы внедрения. Но это уже показательно, что AVZ не в состоянии обнаружить как его, так и банального троянчика.
Логи и фрагмент ветки реестра прикладываю.
Последняя полиморфная сборка его видит в автозапуске...