Подозрение на Руткит :( скрытый процесс и перехватчик
KAV 6.0.3.837 стал периодически ругаться на
Процесс C:\Documents and Settings\администратор\Local Settings\Temp\RarSFX0\setup.exe, обнаружено: потенциально опасное ПО 'Hidden object' (модификация).
Причем не постоянно, а после того как позапускаются программы. Пока не выявил прямую зависимость.
Запустил AVZ в момент "ругани", получил интересный лог, что данный процесс скрытый, маскирует PID и вообще странный. Сам файл даже прямым чтением не удалось "скарантинить", AVZшный диспетчер процессов setup.exe увидел.
Вот после перезагрузки прогнал AVZ и Hi.
Очень не нравится непределенный перехватчик на фукнциях применения параметров безопасности для NTFS.
avz_log_waKAV - быстрый скан системы с выключенным KAV.
P.S. На машине был Kido.ih . Схватили с флешки в то время как он ещё не детектился KAV
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Процесс C:\Documents and Settings\администратор\Local Settings\Temp\RarSFX0\setup.exe, обнаружено: потенциально опасное ПО 'Hidden object' (модификация).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: