перехватчик в KernelMode sp?r.sys

Здравствуйте.

Недавно у меня приключилась большая неприятность, влезли на мой сайт по фтп и вписали всякую гадость во все файлы index в корне и на всех поддоменах, видимо пароли из фара стащила какая-то дрянь. Антивирусы ничего не находят. Проверил машину с помощью AVZ, есть какие-то странные перехваты каким-то драйвером со все время разным названием sp?r.sys, третья буква меняется, то n, то j, то еще что-то, возможно и четвертая буква тоже меняется. Еще одна была странность, появление в окне редактирования MS VS на моих глазах строки testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest,
как будто кто-то слово test копировал многократно из буфера обмена, хотя в буфере обмена его как раз не было.

Вроде все,

спасибо.

sp??.sys - это детки sptd.sys, который у вас с Демоническими инструментами поставился.
testtesttest - это следы работы AVZ. Во время исследования системы никаких постороних действий делать не рекомендуется, вы мешаете AVZ ловить зверей. Она с помощью имитации клавиатурного ввода провоцирует кейлогеры.

Что такое karna.dat? Если не знаете, то пришлите (см. Приложение 3) по красной ссылке. Лично я больше ничего подозрительного не углядел. Хотя ворюга вполне мог быть, сделать своё дело и самоуничтожиться.

Здравствуйте.
К сожалению не знаю что такое karna.dat, и в карантине его нет.

Извините что может быть глупость спрошу, но это сообщение меня смущает - "Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "karna.dat"". Значит ли это, что в системе происходит что-то похожее на что-то связанное с karna.dat, или AVZ увидел где-то файл karna.dat?

Всем здоровья и успехов,
Спасибо.

Это мусор от вируса...

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - AppInit_DLLs:karna.dat[/CODE]

Повторите лог HJT...

Спасибо, понял, мусор пофиксил

Вот лог

Чисто...

Спасибо большое,
тему думаю можно закрывать