-
Junior Member
- Вес репутации
- 59
Маскировка процессов, не могу понять
Добрый день всем. Не так давно обращался сюда за помощью, что FAR частенько стал закрываться, ссылаясь на ошибку с файлом conhost.exe или ntdll.dll. вот тема
Подозрения пали на временные файлы, которые были благополучно удалены, практически сразу. Потом последовала переустановка FAR и вроде как проблем не возникало.
Но буквально вчера, очередной такой вылет при попытке зайти в windows\system32, а потом и в папку на съемном диске, потом на сам диск. Это меня насторожило. И я опять сделал логи, начал разбираться.
И сразу обнаружил процессы без имени, без файла, просто с номером. Они не удаляются через avz-Диспетчер процессов. После перезагрузки остаются.
В модулях пространства ядра есть записи
C:\Windows\System32\Drivers\dump_dumpfve.sys
C:\Windows\System32\Drivers\dump_iaStor.sys
C:\Windows\System32\Drivers\spui.sys
Но этих файлов нет физически, а при каждом выполнении скрипта они обнаруживаются. Почему???
Логи я прикрепил, посмотрите пожалуйста, может будут мысли, что это?
Последний раз редактировалось maku; 23.01.2010 в 19:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
maku
В модулях пространства ядра есть записи
C:\Windows\System32\Drivers\dump_dumpfve.sys
C:\Windows\System32\Drivers\dump_iaStor.sys
C:\Windows\System32\Drivers\spui.sys
Это нормальные файлы.
Красные строки - это тоже нормально
-
-
Junior Member
- Вес репутации
- 59
Спасибо.
Т.е. подозреваете, что это не вирус, а просто кривое, может быть не совместимое ПО. FAR и Windows 7?
А по поводу красных строк, я уже достаточно много компьютеров проверял AVZ, вот именно таких не видел.
