Printable View
AVZ обнаруживает перехват функций:
NtCreateKey
NtEnumerateKey
NtEnumerateValueKey
NtOpenKey
NtQueryKey
NtQueryValueKey
NtSetValueKey
Эти функции перехватывет "[B]spbj.sys[/B]", причём имя почти каждый раз меняется! >:(
Очень хотелось бы знать, вирус это или нет.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('msfir80.exe','');
QuarantineFile('C:\WINDOWS\zamk.scr','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\()1061~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('spbj.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\az4tg9b7.SYS','');
DeleteFile('C:\DOCUME~1\()1061~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('msfir80.exe');
BC_Activate;
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17836[/url]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\()1061~1\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [MsServer] msfir80.exe[/CODE]
SurfSideKick 3 - деинсталируйте
Повторите логи
AVZ не смог поместить эти файлы в карантин!
SurfSideKick 3 - давно уже удалил (4 мес назад)
А в реестре есть
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKCU\..\Run: [SurfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe [/CODE]
Давайте логи посмотрим
sp**.sys - это Алкоголь/Daemon tools
вот логи
Логи чистые.
Всем спасибо!