Из лога видно, что перехвачены Kernel-mode API и User-Mode API. Для ядровых функций перехватчик каждый раз после перезагрузки возвращается с новым именем. В прошлый раз было что-то вроде spuu.sys, похоже перебирает названия из своего внутреннего списка.
Также смущает перехват IRP.
Подскажите, как с этой заразой бороться, пожалуйста.
Спасибо.
На всякий случай AVZ`ом снял дамп одного из прошлых таких перехватчиков - он приложен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
а как же модуль пространства ядра spam.sys и вот это:
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A4541F8 -> перехватчик не определен
?
Сообщение от Гриша
В логах чисто...
Также погляди пожалйста лог avptool_syscheck.zip.
В логах AVZ чисто, потому что перехваты были убраны Virus Removal Tool Касперского. Но после перезагрузки все возвращается в прежнее состояние. Через несколько минут выложу логи сразу после ребута.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: