Маскировка smss.exe на server 2003

[Alvor]

Здравствуйте. Пришлось мне установить дистрибутив Windows server 2003 из скажем так непровереных источников, ибо других найти не смог. Терзаемый смутными сомнениями по поводу периодически запущенного oobechk.exe решил просканировать систему AVP Tool и AVZ. И вот беда - маскировка процесса + перехват функций и много других страшных слов. Отчет прилагаю. Как говорится, помогите!

[Rene-gad]

- Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\srmhost.exe','');
 QuarantineFile('c:\program files\lsi logic corp\spy\spyser.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[Alvor]

Готово.

[Rene-gad]

c:\program files\lsi logic corp\spy\spyser.exe

в карантин не попал. Поищите и закачайте его по правилам приложение 3 вручную.

[Alvor]

Странно - в папке карантина присутствуют файлы ini и dta, но в "карантине" AVZ в столбце "Имя в карантине" - расширение dat. В архив карантира копируются только ini. Не знаю почему такие расхождения - поменял в ini-файлах "dat" на "dta" - все упаковалось. Рискну отослать так, по-другому этот файл почему-то не пакуется. Выслал.

[Гриша]

Файлы чистые...

[Alvor]

Это хорошо. А что же тогда за маскировка процесса smss.exe со странным путем
C:\Documents and Settings\текущий_юзер\Application Data\WINDOWS\system32\smss.exe и куча воплей AVZ о маскировке процесса с подменой PID?

[Гриша]

Это нормально для сервера...

[Alvor]

Чтож, спасибо, тогда я спокоен )

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 7
• В ходе лечения вредоносные программы в карантинах не обнаружены