WinXP SP1
Проблема такая:
что-то под процесс ИД 0 постоянно пытается лезть через
мой прокси по TCP протоколу а также на 139 порт удаленной машины. Я уже облазил весь реестр нет его там.
В Far-e не могу увидеть список процессов. По 3 клавишам
процессы видно, но ничего подозрительного там нет. Касперский сосет, его утилита FindTrojan пишет не могу
построить список процессов. Если троян перехватывает
NtSystemQueryInformation как мне узнать кто это делает?
Буду благодарен за конструктивные предложения

Поставь OutPost, он тебе может показать кто, куда и зачем по сетям шарится :)

попробуй посмотреть этим

to xmt спасибо за ссылку наконец-то я эту сцу.. поймал :)
to SteelRat оутпостом я активно пользуюсь :) но он не смог
показать ничего пишет к примеру NetBIOS traffic исходящее
соединение

xmt
Хмм - что мне интересно - откуда он берет лог запущенных программ, которые были запущены еще до установки AnVir??

Мда, вероятно я поспешил сказать, что прибил зверя, скачал процесэксплорер Русиновича и что интересно к примеру запускаю ИЕ захожу на сайт, закрываю ИЕ. В процесэксплорер Русиновича смотрю свойства процесса SystemIdle и на вкладке TCP/IP вижу соединение установленное с моим прокси-сервером. Кто нибудь скажите что это за заморочка? Что отвечает за SystemIdle?

SystemIdle системный процесс холостого хода. Работает когда камень свободен. У него нет юзерного адресного пространства, а его потоками могут только драйвера пользоваться.

„Хмм - что мне интересно - откуда он берет лог запущенных программ, которые были запущены еще до установки AnVir??“
ну откуда же я знаю,я ж не разработчик :)

Хм...
Программа, ссылка на которую была любезно предоставлена xmt получает список процессов из r3, что уже фигова. Банальный хук на NtQuerySystemInformation дает возможность "подготовить" список процессов для ентой Проги ;)
Адресс NtQuerySystemInformation получается динамически - хук через импорт ("по Рихтеру") не покатит :P

Log процессов легко получить через r0.
Может Прога хучит что-то в r3, а может в r3 есть легальный способ оповещения при создании\уничтожении процесса. Собственного драйвера у нее нету :)

K_O_T
„Log процессов легко получить через r0.
Может Прога хучит что-то в r3, а может в r3 есть легальный способ оповещения при создании\уничтожении процесса. Собственного драйвера у нее нету :)“

Можно поподробнее - дело в том что просто хучить создание процессов мало - она откуда-то взяла лог запусков, которые происходили еще до установки этой проги - я не знал что в системе где-то хранится лог запусков - и интересно что будет если он переполнится, если это например сервак, который пашет уже 2 года.