-
Junior Member
- Вес репутации
- 52
Перехватчик после удаления переименовываеться!
Здравствуйте. Проблемма вот в чём: После сканирования системы, утилитой АВЗ, обнаруживаеться Файл spai.sys - перехватчик KernelMode. После его удаления ( с отключением восстановления системы, при помощи АВЗ ) при повторном сканировании, он появляется вновь, с новым именем( теперь его зовут sphl.sys ). Через поиск такой файл не находиться, в интернете никакой информации не нашёл,про данные имена. Помогите пожалуйста разобраться.Заранее Спасибо..
Вложение 227614
Вложение 227615
Вложение 227616
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O20 - AppInit_DLLs:
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\SeekService\seekservice145.exe','');
DeleteService('SeekService Service');
DeleteFile('C:\Documents and Settings\All Users\Application Data\SeekService\seekservice145.exe');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\SeekService', '*.*', true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\SeekService');
BC_ImportAll;
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Удалите Bonjour
-
-
Junior Member
- Вес репутации
- 52
1) профиксил
2)Удалил бонжур , выполнив скрипт в АВЗ
3) Выполнил скрипт присланный вами
4)Высылаю карантин( только почемуто он весит 1кб и не открывается) + повторные логи.
P.S Файл снова на том же месте, под новым именем.( изменяются последние две буквы spyy.sys)
Вложение 227760
Вложение 227761
Вложение 227762
Последний раз редактировалось ewro83; 31.03.2010 в 20:03.
-
Плохого не видно
sp**.sys - это от эмулятора дисков. Имя каждый раз меняется
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
спасибо.Значит не буду заморачиваться.. Демон тулс не включен у меня. Т,есть он есть, но в автозагрузке не стоит.Я его отдельно включаю, когда надо.