Обнаружил модуль ядра который постоянно меняет имя

Особых глюков не заметил. Не качались большие файлы грешил на качество интернет канала, решил проверить компьютер на вирусы. После проверки появилось несколько вопросов.
1. Обнаружил модуль пространства ядра который постоянно меняет имя, удалить не могу, avz пишет
[ Ошибка карантина файла, попытка прямого чтения (spsb.sys)
Карантин с использованием прямого чтения - ошибка ]
2. [B]ktalk.sys "[/B]Это хитрый драйвер, позволяющий программам напрямую работать с портами ввода-вывода.[B]" [/B](c) Зайцев Олег. Может представлять угрозу для безопасности. Программ которые его могут легально использовать вроде как на компьютере не держу.
3. "[B][B]обнаружена подмена имени, новое имя = "d:\program files\nero\nero8\nero backitup\nbservice.exe" [/B][/B]Это зачем вполне обычной утилите?
4.[B][B]"\FileSystem\ntfs[IRP_MJ_CREATE] = 823DD1F8 -> перехватчик не определен
... skip ...
[/B][/B][B][B]\FileSystem\FastFat[IRP_MJ_PNP] = F8C991F8 -> перехватчик не определен[/B][/B][B][B]"
[/B][/B]Это что такое может быт? С пунктом 2 никак не связано?
5. "[B][B]Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" [/B][/B]Если это касперский то зачем ругаться, как впрочем и [B][B]D:\WINDOWS\system32\Drivers\kl1.sys [/B][/B]почему то не признается известным.
6. "O1 - Hosts: 127.0.0.2 custom-host
O1 - Hosts: 127.0.0.2 [url]www.custom[/url]
O1 - Hosts: 127.0.0.2 custom"
Это чем опасно(я на сайт [url]www.custom[/url] не хожу)? Файл hosts правится скриптом денвера ([url]http://www.denwer.ru/[/url]) Побочных эффектов нет.

Да. Я понимаю что регистрация на форуме через активацию письма в почтовом ящике это для борьбы со спамом. В моем случае получилось, что другого компьютера под рукой нет и работать с почтой, как и с форумом приходится с пускай пока предположительно зараженной машины, а что будет с моими паролями если у меня в системе действительно троян?

в логах ничего зловредного ....

А как объяснить, что модуль пространства ядра по адресу F8416000 постоянно при перезагрузке меняет свое имя. Удалить его у меня тоже не получилось. В логах это кстати видно...

spsb.sys - это от Даемона или Алкоголя. sp*.sys - его детки.

[quote=PavelA;242345]spsb.sys - это от Даемона или Алкоголя. sp*.sys - его детки.[/quote]

Возможно Даемон. Зачем имя то менять при каждой загрузке?
И почему
"Файл: D:\WINDOWS\system32\drivers\kl1.sys. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ" Так и должно быть? Вроде как родной файл касперского?

[QUOTE=Scorpio;242293]1. Обнаружил модуль пространства ядра который постоянно меняет имя, удалить не могу, avz пишет
[ Ошибка карантина файла, попытка прямого чтения (spsb.sys)
Карантин с использованием прямого чтения - ошибка ]
[/QUOTE]
Как уже сказали, sp??.sys - от эмулятора дисков. Удалить их не получится, т.к. их наверняка нет в виде файлов на диске. А вот sptd.sys дожен быть на диске - если его удалите, то sp??.sys больше не должны появляться.

[QUOTE=Scorpio;242293]
4.[B][B]"\FileSystem\ntfs[IRP_MJ_CREATE] = 823DD1F8 -> перехватчик не определен
... skip ...
[/B][/B][B][B]\FileSystem\FastFat[IRP_MJ_PNP] = F8C991F8 -> перехватчик не определен[/B][/B][B][B]"
[/B][/B]Это что такое может быт? С пунктом 2 никак не связано?
[/QUOTE]
Это связано с sptd.sys. Если его не будет, то такие записи пропадут.

[QUOTE=Scorpio;242293]
5. "[B][B]Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" [/B][/B]Если это касперский то зачем ругаться, как впрочем и [B][B]D:\WINDOWS\system32\Drivers\kl1.sys [/B][/B]почему то не признается известным.
[/QUOTE]

Не все возможно занести в базу безопасных при всем желании...

[QUOTE]Анализатор - изучается процесс 1976 D:\Program Files\DAEMON Tools Lite\daemon.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
>>> Реальный размер предположительно = 28475392
Анализатор - изучается процесс 1992 D:\Program Files\TechniSat DVB\bin\Server4PC.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
>>> Реальный размер предположительно = 28475392
Анализатор - изучается процесс 452 D:\Program Files\TechniSat DVB\bin\Server4PC.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
[/QUOTE]

">>> Реальный размер предположительно = 28475392" К какому процессу относится. Если к тому что в верху то почему сообщение для разных файлов (daemon.exe, Server4PC.exe) имеют одинаковый размер(странное совпадение). Если для процесса который изучает анализатор ниже, то не очень последовательно и понятно.

Насколько опасно подобное сообщение?

Посоветуйте базу/программу для проверки файлов на целостность (контрольная сумма, md5 и т.п.).

[QUOTE=Scorpio;242386]"
Насколько опасно подобное сообщение?
[/QUOTE]
совсем не опасно ....