Руткит?

subj.

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Карантин отправил, логи прикладываю. Драйвер постоянно меняет своё имя на sp*.sys

В логах чисто, это драйвер эмулятора дисков...

нет, эмулятор диска я уже деинсталлировал, к томуже он постоянно меняет имя.

Вы мне не верите? :) Драйвера остаются даже после удаления...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('sptd');
DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');
DeleteFile('splq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sptd');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Теперь он пропадет...

у эмулятора диска драйвер называется sptd.sys, а здесь
[B][B]splq.sys
[/B][/B]

Я уже все написал... sptd.sys это отец sp**.sys :)

Да, проблема решилась. Спасибо.

ise32.exe_ - [B]Virus.Win32.Agent.bc[/B] выполните полную проверку СureIt

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\ise32.exe - [B]Worm.Win32.AutoRun.dmh[/B] (DrWEB: Win32.HLLW.Flooder.1)[/LIST][/LIST]