Глянул свой комп программой "Rootkit unhooker". (Аналогично McafeeRootkitDetective 1.1). Фрагмент лога:

>Состояние SSDT
NtCreateThread; Фактический адрес: 0xF7D32E0C; Перехват установлен: Неизвестное имя модуля
NtOpenProcess; Фактический адрес: 0xF7D32DF8; Перехват установлен: Неизвестное имя модуля
NtOpenThread; Фактический адрес: 0xF7D32DFD; Перехват установлен: Неизвестное имя модуля
NtTerminateProcess; Фактический адрес: 0xF7D32E07; Перехват установлен: Неизвестное имя модуля
NtWriteVirtualMemory; Фактический адрес: 0xF7D32E02; Перехват установлен: Неизвестное имя модуля

Честно говоря, не знаю что это за модули, но прочитая наименования, достаточно чтобы насторожиться.

Фактический адрес меняется после очередной перезагрузки. Как выявить то, что причастно к перехвату?

Скачай AVZ (http://z-oleg.com/avz4.zip) в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

Вот он лог:

с первого раза отправить не удалось.

Вот он лог:

Barit, перехваты перечисляются и в AVZ - в основном окне, если запустить сканирование (можно и памяти, без файлов).

(В логе ОК. Вообще-то перехваты могут осуществить, в первую очередь, антивирусы, файерволлы... У меня перехвачено 33 из 284, из них AVG Anti-Spyware и RegDefend делают это открыто, а Симантек - анонимно. Поди-гадай теперь, что принадлежит из 21 перехвата антивирусу, а что - потенциальному руткиту. :) )

Ну вот и сегодня ухлопал уйму времени, пытаясь выяснить кто и зачем перехватывает
NtCreateThread;
NtOpenProcess;
NtOpenThread;
NtTerminateProcess;
NtWriteVirtualMemory.
Тотальная проверка Ad-Aware SE Personal и AntiVir PersonalEdition Classic никакого криминала не находят. В логах файерволла подозрительной активности не наблюдается.

Перечисление перехватов AVZ идентично перечисленному в начале темы.

Ходить гадать - это не наш метод! :) Ведь честному прятать нечего!!! :unsure:

Похоже тему в архив.

NtCreateThread;
NtOpenProcess;
NtOpenThread;
NtTerminateProcess;
NtWriteVirtualMemory. »
По-моему, типично для антивируса...