Kernel RootKit

[h2lord]

Добрый день!

AVZ выдает такое:

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=084700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B700
KiST = 80504420 (284)
Функция NtCreateKey (29) перехвачена (8062252E->F72890E0), перехватчик spuc.sys
Функция NtEnumerateKey (47) перехвачена (80622D6E->F72A6CA2), перехватчик spuc.sys
Функция NtEnumerateValueKey (49) перехвачена (80622FD8->F72A7030), перехватчик spuc.sys
Функция NtOpenKey (77) перехвачена (806238C4->F72890C0), перехватчик spuc.sys
Функция NtQueryKey (A0) перехвачена (80623BE8->F72A710, перехватчик spuc.sys
Функция NtQueryValueKey (B1) перехвачена (806205E8->F72A6F8, перехватчик spuc.sys
Функция NtSetValueKey (F7) перехвачена (80620BEE->F72A719A), перехватчик spuc.sys

После выполнения поиска и нейтрализации пропадает до перезагрузки, после перезагрузки появляется вновь меня название на sp??.sys

[drongo]

то что вы выделили красным- это проделки вашего эмулятора дисков( алкоголя).волноваться по этому поводу не следует.
Вы случаем IceSword устанавливали в систему?

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\umonit.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\IsDrv122.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать весь карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21451

[kps]

AVZ у Вас подозревает наличие файлового вируса.
После скрипта от drongo и когда пришлете карантин, выполните еще такой скрипт в AVZ:

Код:

begin
ClearQuarantine;
QuarantineFile('C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe','');
QuarantineFile('C:\gamez\BioShock\bioshockFOV.exe','');
QuarantineFile('C:\Downloads\Smartphone\CompanionLink\CompanionLink.Pro.v2.0.2645\cl_kg.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21451 ).

[h2lord]

то что вы выделили красным- это проделки вашего эмулятора дисков( алкоголя).волноваться по этому поводу не следует.
Вы случаем IceSword устанавливали в систему?

Да установил IceSword, долго потом искал откуда IsDrv122.sys берется.
Алкоголь и даемон тулс удалил, этот sp??.sys остался

Добавлено через 30 секунд

AVZ у Вас подозревает наличие файлового вируса.
После скрипта от drongo и когда пришлете карантин, выполните еще такой скрипт в AVZ:

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21451 ).

выполнил и выслал.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения вредоносные программы в карантинах не обнаружены