Здравствуйте!
Iceword находит в системе сервис yztgq
В логах AVZ тоже есть подозрения на его маскировку
В реестре нашел ключ netsvcs в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
с параметром:
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
napagent
hkmsvc
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN
yztgq
Кроме того AVZ находит перехватчика процесса который постоянно меняет имя
spcs.sys
spcq.sys
spll.sys
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
(интересно зачем ему имя свое менять при перезагрузке?!)
Насколько я понимаю, это сделано для того, чтобы не быть замеченым производителями игр, т.к. при эмуляции образа и обхода защиты игры с помощью Daemon Tools/Alcohol производители игр могут заблокировать их запуск/выпасть в БСОД. А так он неуловим
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: