Перехватчик после удаления переименовываеться!
Здравствуйте. Проблемма вот в чём: После сканирования системы, утилитой АВЗ, обнаруживаеться Файл spai.sys - перехватчик KernelMode. После его удаления ( с отключением восстановления системы, при помощи АВЗ ) при повторном сканировании, он появляется вновь, с новым именем( теперь его зовут sphl.sys ). Через поиск такой файл не находиться, в интернете никакой информации не нашёл,про данные имена. Помогите пожалуйста разобраться.Заранее Спасибо..
Вложение 227614
Вложение 227615
Вложение 227616
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) R3 - URLSearchHook: (no name) - - (no file) O20 - AppInit_DLLs:
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application Data\SeekService\seekservice145.exe',''); DeleteService('SeekService Service'); DeleteFile('C:\Documents and Settings\All Users\Application Data\SeekService\seekservice145.exe'); DeleteFileMask('C:\Documents and Settings\All Users\Application Data\SeekService', '*.*', true); DeleteDirectory('C:\Documents and Settings\All Users\Application Data\SeekService'); BC_ImportAll; ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_Activate; RebootWindows(true); end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Удалите Bonjour
1) профиксил
2)Удалил бонжур , выполнив скрипт в АВЗ
3) Выполнил скрипт присланный вами
4)Высылаю карантин( только почемуто он весит 1кб и не открывается) + повторные логи.
P.S Файл снова на том же месте, под новым именем.( изменяются последние две буквы spyy.sys)
Вложение 227760
Вложение 227761
Вложение 227762
Последний раз редактировалось ewro83; 31.03.2010 в 20:03.
Плохого не видно
sp**.sys - это от эмулятора дисков. Имя каждый раз меняется
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
спасибо.Значит не буду заморачиваться.. Демон тулс не включен у меня. Т,есть он есть, но в автозагрузке не стоит.Я его отдельно включаю, когда надо.
Уважаемый(ая) ewro83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
