Wuo44.sys

То же самое, но файл не Qcuh45.sys, а Wuo44.sys
И на ней ситуация жестче - при попытке анализа/лечения AVZ машина уходит на перезагрузку и дальше, как только загружается, также уходит на перезагрузку.

Логи получилось сделать только в безопасном режиме, высылаю.

Есть смысл попробовать подобный подход?

85.255.113.149 85.255.112.64 - Вам знакомы?
IceSword удалите C:\WINDOWS\System32\Drivers\Wuo44.sys
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kdzib.exe','');
QuarantineFile('kdzib.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wuo44.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Wuo44.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('kdzib.exe');
DeleteFile('C:\WINDOWS\system32\kdzib.exe');
BC_ImportAll;
BC_DeleteSvc('Wuo44');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].

Повторите логи ко второй машине.

Не сообразил, что по каждому случаю отдельная тема.

Про первую машину ответил в старой теме [URL="http://virusinfo.info/showthread.php?t=26636"]Пакеты на порт 4099 и левый процесс в модуле пространства ядра[/URL]

Про вторую я уже потом создал новую тему: [URL="http://virusinfo.info/showthread.php?t=26644"]Rootkit[/URL] , так как по второй машине пришлось немного пошаманить, чтобы не уходила на перезагрузку.
Соответственно логи поменялись.

[QUOTE]85.255.113.149 85.255.112.64 - Вам знакомы?[/QUOTE]

Да, что-то похожее стояло в свойствах IP протокола в качестве DNS-серверов. Вдобавок, были левые переназначения в lmhosts/

Спасибо, все полечилось.

Ответил и отправил файлы в теме "Rootkit" (ссылка в предыдущем посте).

К той же теме залил карантин.