Насколько я понимаю он просто удаляется и создается заново.
С помощью AVZ все таки нашел какую то заразу - прогнал несколько раз каждый раз эта хрень воскресает под новым именем spnz.sys spuz.sys spno.sys и удалить ее не получается
даже не могу найти где сидит. Ставлю галочку при удалении скопировать в карантин - в карантине ничего нет! Что сие такое и как бороться?
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48B0 (284)
Функция NtCreateKey (29) перехвачена (8057791D->F74D60E0), перехватчик spno.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80578E14->F74F4CA4), перехватчик spno.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80587693->F74F5032), перехватчик spno.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80572BF4->F74D60C0), перехватчик spno.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80578A14->F74F510A), перехватчик spno.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (80573037->F74F4F8A), перехватчик spno.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (8058228C->F74F519C), перехватчик spno.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Анализ для процессора 3
Анализ для процессора 4
CmpCallCallBacks = 0014512C
Disable callback OK
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8ABC61F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8ABC61F8 -> перехватчик не определен
Проверка завершена