-
CureIt и dzarmxp.exe ?!!
Здравствуйте уважаемые хелперы!
Хотела создать тему в Помогите.. но сейчас в некотором недоумении
AVZ нашел маскирующийся процесс-перехватчик dzarmxp.exe
Маскировка процесса с PID=3916, имя = "dzarmxp.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\\LOCALS~1\Temp\R arSFX0\dzarmxp.exe"
>> обнаружена подмена PID (текущий PID=2432, реальный = 3916)
Вначале я подумала что это связано с мобильным жестким диском который работал с другим компьютором. Но при проверке в безопасном режиме CureIt по диспечеру процессов видно - как только запускается CureIt - запускается некий 22zbzl.exe и когда начинается проверка в диспечере появляется dzarmxp.exe. AVZ пишет, что оба процесса принадлежат CureIt и созданы Dr.Web
Мне удалось выловить dzarmxp.exe (он в карантине) и проверить его AVZ и CureIt - они пишут что это не вирус. с другой стороны CureIt
пишет что вирусов нет но RC=160 и в отчете такая запись:
Отчет от: 2010-05-24, 04:59:37 [Администратор]
Командная строка: "C:\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\dzarmXP. exe" /lng:ru-scan /ini:setup_XP.ini /fast
в свойствах файла Launch.exe в вкладке Комментарий значится
TempMode
Silent=1
Setup=22zbzl.exe
ЧТО ЭТО? Ложное срабатывание? Или внутри CureIt вирус? Или супер маскировка?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
CureIt запускается со случайным именем.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
я видела что у него разные названия. редко но были процессы с разными названиями которые AVZ определял красным цветом (или черным). все они стартовали из папки Temp/RarSFX0
относительно dzarmxp.exe и 22zbzl.exe - когда я обнаружила их в папке RarSFXO они имели иконки Dt Web и там были другие файлы..даже с расширением chm.
сегодня проверка показала что никаких перехватчиков нет. Сейчас я запустила новый CureIt. Он создал пару процессов с другими именами kfug2xp/9l68zeug. RC=0. В момент проверки AVZ опять указала на несколько перехваченных процессов (их не было до старта CureIt). После закрытия CureIt красный kfug2xp.exe висит в диспечере процессов AVZ. исчезаtт как минимум только после перезагрузки
Вопрос - не реагировать на такие процессы которые появляются при старте CureIt? Это именно его процессы а не маскировка и нормальная реакция между программами?
Последний раз редактировалось Irina786; 25.05.2010 в 01:04.
-
-