Много скрытых процессов, два непонятных tmp-файла

[nba]

Добрый день!

Помогите разобраться - голову себе почти сломал. В google / здесь на форуме ничего похожего не находится

Формально в системе ничего страшного не наблюдается (проверка kaspersky removal tool из safe mode, cure it с LiveCD), но AVZ показывает две странные вещи

1. Много "спрятавшихся процессов". Непонятно. Вроде бы описывавшихся здесь драйверов HP нет.

2. Какие-то временные файлы, которые он пытается прочитать по пути ..Application Data/Application Data/Application Data/... (sic!). Такого пути при загрузке с флешки в линукс (cureit livecd) видно не было. То есть, откуда это берётся - непонятно.


Плюс были две непонятные службы с непонятными же букво-цифровыми именами (в windows/system32, причём ) физически там не присутствующие и не запущенные. Hijack их не брал почему-то, но они успешно удалились командой "sc"

C:\Windows\system32\DFE5B016.exe
C:\Windows\system32\FBDA6719.exe

Опять-таки, при загрузке с флешки этих файлов не было, и после удаления служб ничего нового не появилось.

Да, не совсем в тему, но, может быть подскажет что-то - на работе был не совсем понятный вирус (его смог пристрелить prevx, не сказал как звали). Внешне это был процесс с именем пользователя, неконтролируемо размножающийся. В реестре он сделал старый трюк с "ntsd -d". Пролез, судя по всему, через дырку в adobe reader, так как после пристрела этого процесса и правки реестра корпоративный симантек (будь ему и ит-шникам неладно) нашёл ошмётки Pidief какого-то. Но на данной системе вроде бы ничего такого не пролезло.

[light59]

В AVZ -> файл-> Выполнить скрипт

Код:

begin
 QuarantineFile('C:\Windows\SetSpkDefault.exe','');
end.

Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=46911

[nba]

Закачал, ещё вчерашнюю версию - AVZ на первом проходе заботливо сделал архив.

Но, если честно, сомневаюсь - это по-моему кусок Acer'a (ноут, Realtek audio).

[nba]

light59, есть какие-нибудь новости?

[light59]

файл чист. в логах тоже ничего подозрительного...

1. Много "спрятавшихся процессов". Непонятно. Вроде бы описывавшихся здесь драйверов HP нет.

2. Какие-то временные файлы, которые он пытается прочитать по пути ..Application Data/Application Data/Application Data/... (sic!). Такого пути при загрузке с флешки в линукс (cureit livecd) видно не было. То есть, откуда это берётся - непонятно.

Это нормально для висты...

[nba]

light59

Спасибо! По прочтению разных тем я тоже к этому склонялся (что это особенности висты / 200.

Может быть, имеет смысл куда-нибудь в сайте в FAQ поместить? Или Олегу Зайцеву сказать, чтобы добавил в FAQ по AVZ.

[light59]

Это уже в тему AVZ с такими вопросами...
Лично меня это не смущает

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены