- Пропал доступ в интернет. (собственно обратил внимание на сообщение avira об ошибке обновления)
- Перезагрузился на всякий случай.
- После перезагрузки антивирус (avira) обнаружил несколько троянов. (могу присоединить лог авиры, но история развивалась дня 3. Лог длинный)
- После следующей перезагрузки обнаруживаются новые трояны.
- Воспользовался функцией ревизора в avz (правда снимок старый изменений много) нашел еще 3 подозрительных *.exe файла. (два из них помещены в карантин avz (meta4.exe, mota113.exe), один не удалось. Удалось просто заархивировать)(msizap.exe)
- Запретил доступ к ним на выполнение в файловой системе ntfs - детектирование троянов авирой после перезагрузки прекратилось.
Но avz обнаруживает скрытые процессы (подмена PID и неизвестное имя) и перехват вызовов доступа к файловой системе и реестру (даже в safe mode и с остановленным антивирусом).
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
SDT = 808A6380
KiST = 808341B0 (296)
Функция NtCreateKey (2B) перехвачена (808B99EC->F7A9A53E), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
<... тут был перехват всех обращений к реестру>
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 42
<... далее много процессов>
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A3381F8 -> перехватчик не определен
<... перехват всех операций с файлами >
Раньше вроде я такого не замечал...
Антивирус, даже когда запущен, четко определялся как перехватчик.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: