может не в тему пишу, просьба извинить тогда.
ситуация такая - комп явно заражён, идёт массовая рассылка по smtp
источник никак не могу обнаружить. пробовались nod32, kaspersky,comodo(всё конечно с последнии обновлениями) - ничего не найдено. avz находит какой-то Dcte54.sys(инфы в инете нигде не нашёл), самого файла Dcte54.sys нет в системе. помогите отловить засланца.
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08A500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80561500
KiST = 804E48B0 (284)
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp F7616439Dcte54.sys
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp F76161A5Dcte54.sys
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F7611C5D -> Dcte54.sys
Проверка завершена
полный лог прилагается.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: