-
Junior Member
- Вес репутации
- 55
Подозрение на вирус!
Добрый день!
Используя программу AVZ про сканировал систему, был найден перехватчик spcl.sys. Средствами AVZ перехватчик удаляется, но после перезагрузки он появляется с другим именем. На диске этот файл найти не удается. Есть предположение, что имеется перехватчик обращений к файловой системе. Внешне система работает стабильно. Посоветуйте, пожалуйста, как удалить эти перехватчики.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\puca63.exe');
QuarantineFile('c:\windows\temp\puca63.exe','');
DeleteFile('c:\windows\temp\puca63.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 55
Выполнил скрипт в avz
Карантин согласно Приложения 3 прислать не могу, он пуст.
Перехватчик sp**.sys, у этого файла меняются два последних символа (отмечены *) при перезагрузке.
Что можно делать если AVZ пишет "перехватчик не определен"?
Проблема осталась.
Последний раз редактировалось kvant-p; 16.11.2009 в 12:26.
-
Сообщение от
kvant-p
sp**.sys
Все это дети эмулятора дисков sptd.sys
C:\WINDOWS\TEMP\DOB43.EXE поищите и пришлите согласно Приложения 2 правил
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Проблема решена!
Перехватчиком был эмулятор дисков sptd.sys (спасибо thyrex).
Отключил SPTD через Regedit:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Start выставить значение 4 (не загружать).
Файл C:\WINDOWS\TEMP\DOB43.EXE скорее всего был результатом работы Антивируса TrendMicro, (в текущих логах c:\windows\temp\kvc7fd.exe это потомок Антивируса).
Спасибо всем кто помогал решить проблему!
Логи, по-моему чистые.
-
Сообщение от
kvant-p
Перехватчиком был эмулятор дисков sptd.sys
Файл C:\WINDOWS\TEMP\DOB43.EXE скорее всего был результатом работы Антивируса TrendMicro
Все верно.
В логах ничего плохого не видно.
Отключите восстановление системы для профилактики,
потом можете включить обратно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Отключите восстановление системы для профилактики,
потом можете включить обратно.
Выполнил. Спасибо.
Тему считаю закрытой.