AVZ: "перехватчик не определен" и маскирующие PID процессы

**apokroff** · 22.11.2016, 18:22

Здравствуйте.
При очередном сканировании ПК (ОС Windows 7 Ultimate 32-bit) Dr.Web CureIt! выявила 1 повреждение файла hosts и 1 вредонос типа AdWare (безопасный режим, запуск от имени администратора, полная проверка всего, включая жесткие диски, архивы и инсталляционные пакеты). Угрозы были успешно нейтрализованы (hosts исправлен, вредонос удален). Однако при последующей проверке утилитой AVZ в отчете обнаружились многочисленные надписи типа "\FileSystem\ntfs[IRP_MJ_CREATE] = 84E6D1F8 -> перехватчик не определен". Кроме того, при сканировании с включенным AVZPM утилита выявляет больше десятка процессов, маскирующих PID. Диспетчер процессов не дает об этих процессах никакой информации, кроме реального PID и указания на то, что их поведение напоминает действия руткитов. Завершить их тоже не удается.
Помогите разобраться, в чем здесь дело.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.11.2016, 18:23

Уважаемый(ая) apokroff, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 22.11.2016, 22:35

AVZPM на системах новее Windows XP не работает, как задумано, не нужно включать этот режим.
Реальные проблемы есть?

**apokroff** · 23.11.2016, 13:39

Подозрения на вирус появились после того, как Chrome самопроизвольно разлогинился из Одноклассников. Сначала подумал на сбой в системе (это был единичный случай), но после отчетов AVZ насторожился.

UPD. В модулях пространства ядра (AVZPM отключен) AVZ обнаруживает драйвер с подозрительным именем, которое меняется после каждой перезагрузки компьютера. Имя состоит из 8 символов (букв и цифр) и всегда начинается с "a". В памяти драйвер всегда занимает один и тот же размер, но меняет описание и производителя (то это Sata Performance Driver от NVIDIA, то Storage Filter Driver от AMD). Помечен как доверенный (выделен зеленым) и в карантин не отправляется. Сканирование дампа памяти модуля на VirusTotal стабильно выдает 1-2 срабатывания от CrowdStrike Falcon и Qihoo-360. Проводник и Everything файл драйвера с таким именем не видят. Может ли это быть связано с работой каких-либо программ, компонентов системы или это все-таки зловред?