Вирус маскируется в поток NTFS, никак не выковыряю!

Доброго вечера!
Кусок из лога AVZ:

Прямое чтение C:\WINXP\system32\drivers\sptd.sys
Прямое чтение C:\WINXP\system32:Up_system.exe:$DATA
C:\WINXP\system32:Up_system.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

Оно висит в HKLM и еще одна гадость в HKCU (Screen3D.scr), убить в реестре нельзя, появляется заного, втч в безопасном режиме, нод и VRT бессильны, в процессах не видно.

После загрузки системы создает безоконные процессы с Оперой и Осликом, они закачивают троянцев с китайских адресов.

Очень интересно, как можно справиться с подобной ситуацией. Заранее спасибо!

З.Ы. ОС - сборка нлайтом из XPSP3 VLK, обновлений никаких не делалось.

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINXP\system32\drivers\HH9Help.sys','');
DelCLSID('U02EBY50-4MUH-AO1R-5C25-SG31877266ST');
QuarantineFile('C:\WINXP\system32\scvhost.exe','');
QuarantineFile('C:\WINXP\system32\Screen3D.scr','');
QuarantineFile('C:\WINXP\system32:Up_system.exe','');
DeleteFile('C:\WINXP\system32:Up_system.exe');
DeleteFile('C:\WINXP\system32\Screen3D.scr');
DeleteFile('C:\WINXP\system32\scvhost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Огромное спасибо, не догадался в драйверах посмотреть! Будет наука теперь )))

Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.

Красненькие IRP-хуки - это как я полагаю DaemonTools или VirtualCD9 ?

Еще раз благодарю, вопрос снят!

[QUOTE]Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.[/QUOTE]
Надо отсылать, если хелпер затребовал файл:)

[QUOTE='PhotonBox;493305']Как оказалось "scvhost.exe" к делу отношения не имеет никакого, поэтому отсылать его не стал.[/QUOTE]
Пришлите всё таки.
[QUOTE='PhotonBox;493305']Красненькие IRP-хуки - это как я полагаю DaemonTools или VirtualCD9 ?[/QUOTE]Да.

[QUOTE=AndreyKa;493338]Пришлите всё таки.
Да.[/QUOTE]

Там доморощенный самописный кейлоггер\ворователь хистори асек и скайпа. Хороший друг летом попросил проверить его девушку (нонче - жену :D). Тестировал, естесственно, на себе, да так и забыл про файлик. Извините, если ввел в заблуждение :>, еще раз СПАСИБО!!!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\winxp\system32\screen3d.scr - [B]Trojan.Win32.Sasfis.sgw[/B] ( DrWEB: Trojan.PWS.Multi.76 )[*] c:\winxp\system32:up_system.exe - [B]Backdoor.Win32.Poison.axkm[/B] ( DrWEB: Trojan.PWS.Multi.76, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\winxp\system32:up_system.exe:$data - [B]Backdoor.Win32.Poison.axkm[/B] ( DrWEB: Trojan.PWS.Multi.76, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]