Kiểm tra máy bằng tool (bkavtool, autoruns, ..) thì không có tiến trình lạ của virus. Chuẩn đoán là lỗi do Winsock: chạy các tool để kiểm tra lỗi Winsock (như LSPFix, ...) thì đều báo "Winsock không có vấn đề gì".
Vậy nguyên nhân là do đâu? Sau khi chạy Rootkkt Unhooker LE (RkU) thì phát hiện ra: Tại tab Code Hooks: có một số hàm bị hook (NdisOpenAdapter, và 2 hàm khác nữa) của driver chuẩn tcpip.sys, và driver đang hook là vsdatant.sys.
Đây chính là file nghi ngờ, vào google "vsdatant.sys" thì ra là driver của Zone Alarm
Sau khi tạm thời chuyển file vsdatant.sys sang một thư mục Mauvirus, và xoá các key sau (trước đó có export):
H K E Y _ L O C A L _ M A C H I N E \ S Y S T E M \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ v s d a t a n t
H K E Y _ L O C A L _ M A C H I N E \ S Y S T E M \ C o n t r o l S e t 0 0 2 \ S e r v i c e s \ v s d a t a n t
Không có nhận xét nào:
Đăng nhận xét