GMER - подозрение на RootKit. AVZ - множественные замаскированные процессы
Время от времени (на протяжении дня) после прогона быстрой проверки, AVZ и GMER могут найти множественные (1-7 шт.) замаскированные процессы, которых еще час-два назад небыло. Проследить зависимость/выяснить причину их появления не удалось.
Основной, он же и единственный, антивирус из комплекта KIS 2009, другими «вещами» систему не захламляю.
Выполнил все как указано в правилах, надеюсь на помощь.
Заранее благодарю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Давайте сюда лог Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
Ка вы и просили...Сообщение от Aleksandra
В AVZ Сервис -> Модули пространства ядра снимите дамп с подозрительных модулей.
Сердце решает кого любить... Судьба решает с кем быть...
Выслал запрошенные дампы + список процессов.
Обратите внимание, пожалуйста, на процесс: C:\WINDOWS\System32\Drivers\a6hraqam.SYS
Ничего зловредного в логах нет.
От Daemon Tools...
Сердце решает кого любить... Судьба решает с кем быть...
Ну вот, опять имеем то, что имеем:
AVZ:
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
>>>> Обнаружена маскировка процесса 41836 ?
>>>> Обнаружена маскировка процесса 42368 ?
>>>> Обнаружена маскировка процесса 57472 ?
GMER:
Process hidden process (*** hidden *** ) 41836
Process hidden process (*** hidden *** ) 42368
Process hidden process (*** hidden *** ) 58524
Кстати, у них код последних процессов не совпадает...
Что делать, как поступать, забыть об этом или будем искать еще?
P.S. Пока дописал пост, их (процессов) уже стало шесть
Такой лог сделайте http://virusinfo.info/showthread.php?t=57249
Сердце решает кого любить... Судьба решает с кем быть...
Сделал все как в инструкции, правда из-за отсутствия времени, проверил только диск С:\
И еще, два интересных факта:
1) При запуске RKU выдает сообщение, что якобы поражен каким-то процессом, но после нажатия на "ОК" успешно его побеждает
2) Даже если в RKU ничего не делать, всеравно после выхода он "грубо" (по типу break или terminate) перезагружает ОС.
Все это можно назвать нормальным поведением?
Этим mzvkbd3.dll?1) При запуске RKU выдает сообщение, что якобы поражен каким-то процессом, но после нажатия на "ОК" успешно его побеждает
Нормальным как и Ваши логи...Все это можно назвать нормальным поведением?
Сердце решает кого любить... Судьба решает с кем быть...
Вроди да - не помню, сейчас не могу проверить...Этим mzvkbd3.dll?
"Так значит это конец?" - мысленно задал вопрос в пустоту мальчик, ровно за секунду до того, как его переехала электричка...
Оставляем непонятные процессы и живем дальше, радуясь солнцу, небу и утренней прохладе?
Да, это от эмуляторов.Оставляем непонятные процессы и живем дальше, радуясь солнцу, небу и утренней прохладе?
Сердце решает кого любить... Судьба решает с кем быть...
Ну что ж, так тому и быть, продолжаем дальше жить.
Большое спасибо за помощь. Желаю всего, много и только лучшее.
С уважением, Алексей.
Уважаемый(ая) alex_prog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
