Спецы по драйверам помогите

[Bmx1]

С помоьщю APIMon-a нашел что к сети постоянно обращаяется explorer.exe, причем APIMon показывает обращение к сетевому драйверу то бишь DeviceIoCtrl.

Как можно отмотать этот клубок т.е. от DeviceIoCtrl дойти до длл-а или драйвера , который его посыает именно длл или драйвер потому как LordPE никаких левых процессов не обнаружил

Симптомы вируса
анонимные входы в систему
не прерывная посылка DNS запросов ( файрвол показывает application Svchost.exe)

[Anonymous]

С помоьщю APIMon-a нашел что к сети постоянно обращаяется explorer.exe, причем APIMon показывает обращение к сетевому драйверу то бишь NtDeviceIoControlFile, где из IoControlCode видно что это сетевая карта.

Как можно отмотать этот клубок т.е. от NtDeviceIoControlFile дойти до длл-а или драйвера , который его посыает именно длл или драйвер потому как LordPE никаких левых процессов не обнаружил

Симптомы вируса
анонимные входы в систему
не прерывная посылка DNS запросов ( файрвол показывает application Svchost.exe)

[grozny]

ставится отладчик ядра (софтайс или виндбаг) и загружаются правильные символы ядра (например, с публичного сервера МС). после этого можно мотать стэк вызовов куда надо, ставить брэкпойнты в ядре где хочется и пр.