Привет.
Недавно на просторах сети поймал msauc.exe
Момент загрузки я заметил, процесс в диспетчере прибил.
Всё что смог найти - вычистил (пару *.cpl файлов и драйвер).
Проверьте пожалуйста ничего ли не осталось.
Логи во вложении.
Printable View
Привет.
Недавно на просторах сети поймал msauc.exe
Момент загрузки я заметил, процесс в диспетчере прибил.
Всё что смог найти - вычистил (пару *.cpl файлов и драйвер).
Проверьте пожалуйста ничего ли не осталось.
Логи во вложении.
Вот это я бы проверил на наличие:
O23 - Service: OpcEnum - Unknown owner - C:\WINDOWS\system32\OpcEnum.exe (file missing)
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\SASHA\LOCALS~1\Temp\Rar$EX00.355\MPSCUsb.sys','');
DeleteService('gkejmwudujni');
QuarantineFile('C:\WINDOWS\system32\drivers\hcrwcmpsehndkc.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин.
Сделать новые логи.
[quote=PavelA;335564]Вот это я бы проверил на наличие:
O23 - Service: OpcEnum - Unknown owner - C:\WINDOWS\system32\OpcEnum.exe (file missing)
[/quote]
Нет такого файла.
Чего делать?
Скрипт выполнил.
Новые логи во вложении.
Карантин отправил.
И ещё вопрос.
Обнаруживаются хуки от spcz.sys, sppc.sys - это sptd.sys так шифруется, или что это?
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('digeste.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
В логах чисто, установите SP3+all updates...
[QUOTE=shutd0wn;335794]И ещё вопрос.
Обнаруживаются хуки от spcz.sys, sppc.sys - это sptd.sys так шифруется, или что это?[/QUOTE]
Да, это он самый.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]