Конкретно проблему человек описывает в ЭТОЙ теме, у меня та же проблема, походу нас не много, т.к. погуглив нашёл ссылку только на мой любимый антивирусный сайт. Судя потому что Daemonа у меня нет, и никогда не было, я имею смысл подозревать AusLogic’s. Причём на другом ПК, не подключённому к инету те же логи, и тоже есть AusLogic.
Код:
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 21.04.2009 4:53:51
Загружена база: сигнатуры - 219528, нейропрофили - 2, микропрограммы лечения - 56, база от 20.04.2009 22:16
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 108527
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08C500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80563500
KiST = 804E4F40 (284)
Функция NtCreateKey (29) перехвачена (80579528->F770E0E0), перехватчик spvp.sys
Функция NtEnumerateKey (47) перехвачена (8057A69E->F772CCA2), перехватчик spvp.sys
Функция NtEnumerateValueKey (49) перехвачена (80590C93->F772D030), перехватчик spvp.sys
Функция NtOpenKey (77) перехвачена (80573F1D->F770E0C0), перехватчик spvp.sys
Функция NtQueryKey (A0) перехвачена (8057A29E->F772D108), перехватчик spvp.sys
Функция NtQueryValueKey (B1) перехвачена (80574361->F772CF88), перехватчик spvp.sys
Функция NtSetValueKey (F7) перехвачена (80584921->F772D19A), перехватчик spvp.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85F22500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 85F22500 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 31
Количество загруженных модулей: 399
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 430, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 21.04.2009 4:54:49
Сканирование длилось 00:00:59
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
После проверки тыкая на очки вижу строку spvp.sys Перехватчик KernelMode Подозрение на RootKit
При этом всё работает стабильно.
Лог отдельно тоже прилагаю.