На проверку

Темы определённой нет, т.к. не пойму "что со мной доктор", но вижу что что-то не так. Проверяться AVZ решил потому что в таскменеджере пропали имена юзеров из под которого запущены процессы. А после регулярного сканирования системы стал наблюдать интересный процесс маскировки на уровне кернела, который Всегда меняет имя. По маске sp??.sys. В логе увидите процесс spzv.sys, но после перезагрузки он может быть sprr.sys или spqi.sys. В сейф моде я находил тоже самое, но имя другое ProcMon11.sys.

Заодно, я не понял куда сообщать о нормальном файле, но детектящемся как троян/кейлогер - TortoiseSVN. В логах он присутствует.

выполните [url]http://virusinfo.info/showthread.php?t=1235[/url]
sp??.sys -от даймон тул ...

забыл аттачи

[QUOTE=V_Bond;198487]выполните [url]http://virusinfo.info/showthread.php?t=1235[/url]
sp??.sys -от даймон тул ...[/QUOTE]нет. у ДТ всегда одно название - SPTD.sys
Да и удалил я его полностью. И софт и в устройствах драйвер тоже.

Вот сейчас просле перезагрузки новое название
Функция NtCreateKey (29) перехвачена (80618E86->F728A0E0), перехватчик spaf.sys
..
и так постоянно :)

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Вопрос отпал. Спасибо что напомнили про ДТ. Пошёл в реестр и нашёл сервис "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd"
и файл sptd.sys. Удалил, перегрузился, процессы пропали.

virusinfo_cure.zip - карантин отправте по ссылке над темой .... - из темы убрать ...
ProcMon11.sys -от Process Monitor ...
подозрительного ничего не видно ...
"в таскменеджере пропали имена юзеров" - отключена служба терминалов ... (как потециально опасная)
sp??.sys - так и дожно быть ... последние версии вснгда себя так ведут .... проверено ;)