-
Junior Member
- Вес репутации
- 54
Не нравятся маскировки процессов и подмены имён
Недавно в логе сканирования AVZ увидел такой фрагмент, который почему-то мне не очень понравился:
"1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=2376, имя = "taskmgr.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\system32\taskmgr. exe"
>> обнаружена подмена PID (текущий PID=4176900256, реальный = 2376)
>> обнаружена подмена имени, новое имя = "FilеШйЃЂNЃ"
Маскировка процесса с PID=1276, имя = "twq3cxp.exe", полное имя = "\Device\HarddiskVolume1\TEMP\dc49862415\twq3cxp.e xe"
>> обнаружена подмена PID (текущий PID=2949169, реальный = 1276)
>> обнаружена подмена имени, новое имя = "6"
>> Маскировка драйвера: Base=B5F60000, размер=163840, имя = "\SystemRoot\system32\DRIVERS\29446010.sys"
Поиск маскировки процессов и драйверов завершен"
Не свидетельствует ли это о вторжении на мой комп каких-либо зловредов?
Логи, согласно правилам, прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
если сюда пришли, то вот это надо отключать:
Восстановление системы: включено
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('c:\windows\system32\DRIVERS\29446010.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам.
Более ничего я в логах не увидел.
AVZPM у Вас включен?
Лог Гмера сделайте.
Последний раз редактировалось PavelA; 28.10.2009 в 10:41.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-