Rootkit

[Den47]

У меня на компе есть Rootkit перехватчики.Сканирование AVZ дает следующий результат:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Функция ZwClose (19) перехвачена (80566B49->F955381, перехватчик UP55bus.sys
Функция ZwCreateKey (29) перехвачена (8056E761->F95537D0), перехватчик UP55bus.sys
Функция ZwCreatePagingFile (2D) перехвачена (805B77B8->F9547A20), перехватчик UP55bus.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68->F95482A, перехватчик UP55bus.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28->F9553910), перехватчик UP55bus.sys
Функция ZwOpenKey (77) перехвачена (80567AFB->F9553794), перехватчик UP55bus.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71->F95482C, перехватчик UP55bus.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB->F9553866), перехватчик UP55bus.sys
Функция ZwSetSystemPowerState (F1) перехвачена (80665527->F95530B0), перехватчик UP55bus.sys
Проверено функций: 284, перехвачено: 9, восстановлено: 0
При лечении с функцией "Блокировать работу Rootkit Kernel-Mode" через некоторое время компьютер аварийно перезагружается, помогите избавиться от этого!

[aintrust]

У меня на компе есть Rootkit перехватчики.
...
При лечении с функцией "Блокировать работу Rootkit Kernel-Mode" через некоторое время компьютер аварийно перезагружается, помогите избавиться от этого!

У вас, очевидно, установлена утилита Daemon Tools или какая-то похожая на нее утилита-эмулятор CD (т.н. "виртуальный" CD)? Если это так, то все у вас нормально - такие перехваты должны быть, и "лечить" их совсем не нужно! Если же нет (т.е. вы не устанавливали утилиту-эмулятор CD), то тогда присылайте отчеты работы утилиты AVZ по полной программе, будем разбираться!

[Den47]

У меня был Daemon Tools, я его удалил, но AVZ все равно что-то находит:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0

[Зайцев Олег]

У меня был Daemon Tools, я его удалил, но AVZ все равно что-то находит:
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0

Это сообщение об отсутствии перехватов - он же пишет перехвачено: 0, восстановлено: 0, а остальное - это техническая информация