hasplms exe что это за процесс

Ответ от Настя[гуру]
Вирус Net-Worm.Win32.Padobot.z обладает встроенным руткитом. Именно руткитом он и интересен, т. к. качественно маскирует процессы и файлы и его защитный механизм в принципе работоспособен в 9x и NT. Фрагмент протокола AVZ: 1. Поиск RootKit и программ, перехватывающих функции API >> Опасно! Обнаружена маскировка процессов >>>> Обнаружена маскировка процесса 1184 BCFFFJJ0.exe >>>> Обнаружена маскировка процесса 1636 Ojcdjp32.exe >>>> Обнаружена маскировка процесса 652 JEBHCCDC.exe 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo После противодействия руткиту произошло обнаружение процессов: >>>> Подозрение на маскировку процесса 1184 c:\\test\\bcfffjj0.exe >>>> Подозрение на маскировку процесса 1636 c:\\windows\\system32\\ojcdjp32.exe >>>> Подозрение на маскировку процесса 652 c:\\windows\\system32\\jebhccdc.exe Сам вирус копирует себя в папку System32, имена файлов судя по всему случайные. Файлы ничем не сжаты и не зашифрованы BCFFFJJ0.exe - размер 13857 байта, содержит открытым текстом заголовки окон популярных антивирусов и Firewall, в частности OfficeScanNT, ZoneAlarm, Panda, Antivirus Norton Antivirus ...и заготовку HTTP апроса Gdiooi32.exe - размер 46592 байта, не сжат и не зашифрован После запуска вируса на тестовом ПК обнаружились еще две троянские библиотеки: c:\\windows\\system32\\esvfo32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s c:\\windows\\system32\\ztelhj32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s как оказалось, они прописаны в ShellServiceObjectDelayLoad. Лечение 1. Провести сканирование при помощи AVZ с включенным антируткитом 2. Завершить процессы вируса 3. при помощи встроенного поиска файлов найти файлы вируса и удалить их