На проверку

[HellFire]

Темы определённой нет, т.к. не пойму "что со мной доктор", но вижу что что-то не так. Проверяться AVZ решил потому что в таскменеджере пропали имена юзеров из под которого запущены процессы. А после регулярного сканирования системы стал наблюдать интересный процесс маскировки на уровне кернела, который Всегда меняет имя. По маске sp??.sys. В логе увидите процесс spzv.sys, но после перезагрузки он может быть sprr.sys или spqi.sys. В сейф моде я находил тоже самое, но имя другое ProcMon11.sys.

Заодно, я не понял куда сообщать о нормальном файле, но детектящемся как троян/кейлогер - TortoiseSVN. В логах он присутствует.

[V_Bond]

выполните http://virusinfo.info/showthread.php?t=1235
sp??.sys -от даймон тул ...

[HellFire]

забыл аттачи

[HellFire]

выполните http://virusinfo.info/showthread.php?t=1235
sp??.sys -от даймон тул ...

нет. у ДТ всегда одно название - SPTD.sys
Да и удалил я его полностью. И софт и в устройствах драйвер тоже.

Вот сейчас просле перезагрузки новое название
Функция NtCreateKey (29) перехвачена (80618E86->F728A0E0), перехватчик spaf.sys
..
и так постоянно

Добавлено через 10 минут

Вопрос отпал. Спасибо что напомнили про ДТ. Пошёл в реестр и нашёл сервис "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\sptd"
и файл sptd.sys. Удалил, перегрузился, процессы пропали.

[V_Bond]

virusinfo_cure.zip - карантин отправте по ссылке над темой .... - из темы убрать ...
ProcMon11.sys -от Process Monitor ...
подозрительного ничего не видно ...
"в таскменеджере пропали имена юзеров" - отключена служба терминалов ... (как потециально опасная)
sp??.sys - так и дожно быть ... последние версии вснгда себя так ведут .... проверено