Прошу помощи, заранее спасибо!
Прошу помощи, заранее спасибо!
1. Отключите системное восстановление!
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузитсяКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\drivers\BSuBT.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\BSuBT.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Сделайте новые логи
quarantine.zip закачать не удалось, говорит "Данный файл уже был загружен".
Восстановление системы отключил.
Пока не проявляется, хотя AVZ выдает:
Функция NtCreateKey (29) перехвачена (80623786->B9EAB0E0), перехватчик spah.sys
Функция NtEnumerateKey (47) перехвачена (80623FC6->B9EC8CA2), перехватчик spah.sys
Функция NtEnumerateValueKey (49) перехвачена (80624230->B9EC9030), перехватчик spah.sys
Функция NtOpenKey (77) перехвачена (80624B58->B9EAB0C0), перехватчик spah.sys
Функция NtQueryKey (A0) перехвачена (80624E7E->B9EC910, перехватчик spah.sys
Функция NtQueryValueKey (B1) перехвачена (806219BE->B9EC8F8, перехватчик spah.sys
Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC919A), перехватчик spah.sys
Если возобновится - отпишусь.
P.S. Спасибо.
Это эмулятор дисков. Windows нефирменная сборка? Просто ни Алкоголь, ни Daemon Tools в логе HJT не видны.
Вот же ж. Вместо BSuBT.exe появился BSvBT.exe
Пока почистил ручками, посмотрим что дальше будет.
Вопрос: откуда этот вирус попадает на машину, каким путем?
Заплатки на систему все стоят?
Нет, все что выходило после SP3 не ставил. Я имею в виду они из инета или из локалки лезут?
Уважаемый(ая) uDemon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.