Подозрение на вирусы
>>> C:\WINDOWS\system32\csrcs.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
перехватчик spwn.sys
и др.
Printable View
Подозрение на вирусы
>>> C:\WINDOWS\system32\csrcs.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
перехватчик spwn.sys
и др.
Обновите базы AVZ!
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\csrcs.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
[SIZE=2][COLOR=#ff0000]теперь появился новый перехватчик
Функция NtCreateKey (29) перехвачена (8056E9A9->F770E0E0), перехватчик spim.sys
вирус переслать не удалось = удалил NOD32
что дальше?
[/COLOR][/SIZE]
sp??.sys-эмулятор дисков...
В логах чисто, установите SP3+all updates...
[QUOTE]вирус переслать не удалось = удалил NOD32[/QUOTE]
На будущее: при работе с AVZ свой антивирус необходимо отключать.
Установленных программ эмуляторов дисков нет
стоит ZVER 2
WinXP SP2
[quote=magstorm;344631]Установленных программ эмуляторов дисков нет[/quote]
Однако драйвер sptd установлен. Эти sp??.sys - его "детки".
Можно его удалить таким скриптом:
[CODE]
begin
BC_DeleteSvc('sptd');
BC_Activate;
RebootWindows(true);
end.
[/CODE]