По результатам сканирования AVZ получил весьма настораживающее сообщение:
Функция IoAllocateIrp (804EAF9D) - модификация машинного кода. Метод не определен., внедрение с байта 15
а также приличное количество сообщений типа:
\FileSystem\ntfs[IRP_MJ_*] = 8AC5F1F8 -> перехватчик не определен
и вот такого типа:
\FileSystem\FastFat[IRP_MJ_*] = 89EB21F8 -> перехватчик не определен
И ещё:
3. Сканирование дисков
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
sptd.sys может быть драйвером Алкоголя (установлен), то сообщение
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nixemu.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nixemu.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
меня все же настораживает.
KAV 6.0 for WinWks и CureIt молчат.
Перед проверкой KAV обнаружил что заданные мною правила исключений удалены (например папка SpywareTerminator). Вместо них было единственное правило не проверять объекты любой задачей KAV. Причем имя объекта было незадано. Проверка проходила в считанные секунды. Это нестандартное правило перед полной проверкой я удалил.
Логи прилагаю. Жду рекомендаций. Спасибо.
Последний раз редактировалось Daemon; 04.02.2009 в 04:31.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: