в модуле пространства ядра присутствуют 2 файла с левыми именами, причем после попытки удаления и после перегрузки они появляются снова, но имена уже другие.
на момент проверки они называются: anjwttin.sys и a1um84g3.sys, а virustotal на их дамп сказал следующее: Sunbelt 2.2.907.0 2007.07.19 VIPRE.Suspicious, Webwasher-Gateway 6.0.1 2007.07.19 Win32.Malware.gen (suspicious), в карантин они не попадают AVZ пишет:
Ошибка карантина файла "C:\WINDOWS\System32\Drivers\a1um84g3.SYS", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Добавлено через 10 минут
а что может значить : "Видимый процесс с PID=1488, имя = "\Device\HarddiskVolume4\PROGRA~1\DrWeb\spidernt.e xe"
>> обнаружена подмена имени, новое имя = "c:\program files\drweb\spidernt.exe"
" ?
Последний раз редактировалось gegsla; 21.07.2007 в 03:48.
Причина: Добавлено сообщение
да, после удаления из system32/drivers файла sptd.sys, эти 2 файла с левыми именами перестали появляться в модулях пространства ядра.
так что это действительно демон..
еще раз спасибо за помощь !
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: