Показать сообщение отдельно
Старый 08.06.2008, 14:17   #6
pendulum7777
Пользователь
 
Аватар для pendulum7777
 
Пол:Мужской
Регистрация: 13.03.2008
Адрес: Восток Украины
Сообщений: 131
Репутация: 46
По умолчанию Ответ: Невиданная Служба "mnmsdtlcn" в XP SP2

Цитата:
Сообщение от PLAstic Посмотреть сообщение
pendulum7777, а логах AVZ ничего подозрительного нет. Каков путь, откуда запускается этот файл? И кидани его на всякий случай на рапиду, я солью, гляну.

Да, подозрений предостаточно:

>>>> Возможно маскировка имени исполняемого файла 2156 btstackserver.exe, реальное имя - BTSTAC~1.EXE
>>>> Возможно маскировка имени исполняемого файла 2352 btstackserver.exe, реальное имя - BTSTAC~1.EXE

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B580)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552580
KiST = 80501354 (284)

Функция NtCreateThread (35) перехвачена (805C611A->F7AADA64), перехватчик не определен
Функция NtOpenProcess (7A) перехвачена (805C01C2->F7AADA50), перехватчик не определен
Функция NtOpenThread (80) перехвачена (805C044E->F7AADA55), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805C7B10->F7AADA5F), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805A88C2->F7AADA5A), перехватчик не определен

D:\pub\GameSetup.exe >>> подозрение на Worm.Win32.Fujack.e ( 0AAA6584 00000000 00236949 001FE30F 27648)
C:\Program Files\TortoiseSVN\bin\tortoisesvn.dll --> Подозрение на Keylogger или троянскую DLL
pendulum7777 вне форума
 
Ответить с цитированием Вверх
 
Время генерации страницы 0.09069 секунды с 9 запросами