почти на 100% уверен, что вчера перехватил где-то засаду, хотя штатно работал Dr.Web SS...
в основном это отражалось на загруженность интернет-канала, были непонятки и hosts.
ни cureit ни avptools ничего не нашли...
все логи приложил, никак не могу вычислить гада, часть вызывающих подозрения драйверов проверял на вирустотате - все чисто, часть, никакими утилитами не могу "выдрать", только дампы...
подскажите, куда копать...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Kuzz, я тут слегка ослушался, но в целом выполнил... толку не шибко...
skynet.sys - драйвер от dvb-карты для спутниковой тарелки, он 100% чист;
tcpip.sys - это просто патченный tcp/ip для торрента, поэтому crc не прошел;
54401169.sys - это от avp-tool подарок, после ребута самоудалился...
итого, в карантин выпали первых два "тела", оба невинны...
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A5C61E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A5C61E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A5C61E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A5C61E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A5C61E8 -> перехватчик не определен
etc...
+
Код:
Опасно - отладчик процесса "avp.exe" = "ntsd -d"
Опасно - отладчик процесса "avp32.exe" = "ntsd -d"
Опасно - отладчик процесса "avtask.exe" = "ntsd -d"
etc...
достаточно для более чем обоснованных подозрений... к тому же, еще пару недель назад все было чисто, а никакого нового ПО я не ставил...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: