Подозрение на вирус!

Printable View

16.11.2009, 09:38
kvant-p

Подозрение на вирус!

Добрый день!
Используя программу AVZ про сканировал систему, был найден перехватчик spcl.sys. Средствами AVZ перехватчик удаляется, но после перезагрузки он появляется с другим именем. На диске этот файл найти не удается. Есть предположение, что имеется перехватчик обращений к файловой системе. Внешне система работает стабильно. Посоветуйте, пожалуйста, как удалить эти перехватчики.
16.11.2009, 09:46
snifer67

Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\puca63.exe');
QuarantineFile('c:\windows\temp\puca63.exe','');
DeleteFile('c:\windows\temp\puca63.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
16.11.2009, 11:49
kvant-p

Выполнил скрипт в avz

Карантин согласно Приложения 3 прислать не могу, он пуст.

Перехватчик sp**.sys, у этого файла меняются два последних символа (отмечены *) при перезагрузке.
Что можно делать если AVZ пишет "перехватчик не определен"?
Проблема осталась.
16.11.2009, 14:42
thyrex

[QUOTE='kvant-p;509703']sp**.sys[/QUOTE]
Все это дети эмулятора дисков sptd.sys

C:\WINDOWS\TEMP\DOB43.EXE поищите и пришлите согласно Приложения 2 правил
17.11.2009, 06:21
kvant-p

Проблема решена!

Перехватчиком был эмулятор дисков sptd.sys (спасибо [COLOR="Navy"]thyrex[/COLOR]).
Отключил SPTD через Regedit:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Start выставить значение 4 (не загружать).
Файл C:\WINDOWS\TEMP\DOB43.EXE скорее всего был результатом работы Антивируса TrendMicro, (в текущих логах c:\windows\temp\kvc7fd.exe это потомок Антивируса).

Спасибо всем кто помогал решить проблему!
Логи, по-моему чистые.
17.11.2009, 07:30
Bratez

[QUOTE='kvant-p;510281']Перехватчиком был эмулятор дисков sptd.sys
Файл C:\WINDOWS\TEMP\DOB43.EXE скорее всего был результатом работы Антивируса TrendMicro[/QUOTE]
Все верно.

В логах ничего плохого не видно.
Отключите восстановление системы для профилактики,
потом можете включить обратно.
17.11.2009, 07:40
kvant-p

[QUOTE]Отключите восстановление системы для профилактики,
потом можете включить обратно.[/QUOTE]
Выполнил. Спасибо.

Тему считаю закрытой.