Update.exe

Давно сидит этот зверь, но только недавно понял что это вирь.(сидит в ране и восстанавливается через 3-4 секунды после удаления через регклинер или тп.)

Плюс в логах авз всегда было что то подобное, но думал что это даемонтулз
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08C500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80563500
KiST = 804E4F40 (284)
Функция NtCreateKey (29) перехвачена (80579528->F74D90E0), перехватчик spft.sys
Функция NtEnumerateKey (47) перехвачена (8057A69E->F74F6CA2), перехватчик spft.sys
Функция NtEnumerateValueKey (49) перехвачена (80590C93->F74F7030), перехватчик spft.sys
Функция NtOpenKey (77) перехвачена (80573F1D->F74D90C0), перехватчик spft.sys
Функция NtQueryKey (A0) перехвачена (8057A29E->F74F7108), перехватчик spft.sys
Функция NtQueryValueKey (B1) перехвачена (80574361->F74F6F88), перехватчик spft.sys
Функция NtSetValueKey (F7) перехвачена (80584921->F74F719A), перехватчик spft.sys

название перехватчика всегда разное 4 буквенное.

По ходу проверки Nod удалил прокси троян какой-то (kprof).
Вобщем хочется дочистить машину от гадостей. Заранее спасибо.

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Sayo\LOCALS~1\Temp\update.exe','');
QuarantineFile('C:\WINDOWS\system32\XDva020.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva011.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva006.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva004.sys','');
QuarantineFile('D:\XilRO\npkcrypt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\EagleNT.sys','');
QuarantineFile('C:\WINDOWS\system32\CCRFG.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a04f4p0m.SYS','');
QuarantineFile('c:\windows\system32\sl4nt.exe','');
DeleteFile('C:\DOCUME~1\Sayo\LOCALS~1\Temp\update.exe');
BC_ImportALL;
ExecuteSysClean;
DelCLSID('E2B4CA03-15D1-6ED4-2FA4-9610C870BA28');
DelCLSID('A5C2457A-87BC-324E-8124-0025DC10AA03');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=22240[/url] ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Сделайте новые логи.

sp??.sys от Daemon Tools.

QuarantineFile('c:\windows\system32\sl4nt.exe',''); - [url]http://www.netal.com/sl4nt.htm[/url]
сервис для записи лога .. использую для лога сообщений от роутера. но в карантин отправлю.

Выполнил. update.exe больше нету в ране.

не сделал самое главное - не поблагодарил ) ..
спасибо за очередную помощь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\sayo\\locals~1\\temp\\update.exe - [B]Backdoor.Win32.Poison.vn[/B] (DrWEB: Trojan.DownLoader.46203)[/LIST][/LIST]