Табличку вируса удалил в виде файла plugin.exe из Program Files, остались непонятные процессы в ядре, распознаваемые как вирусы.
Printable View
Табличку вируса удалил в виде файла plugin.exe из Program Files, остались непонятные процессы в ядре, распознаваемые как вирусы.
В логах нет ничего подозрительного
Неужели? А есть кто-нибудь пограмотнее?
Файл spzy.sys Подозрение на RootKit Перехватчик KernelMode ни о чём не говорит? Файл меняет имя после ребута, сохранён дамп памяти и проверен на virustotal - многие антивири видят его как вирус. Только как он запускается, я пока не понял.
Сборка какая-нибудь? В них любят эмулятор дисков запихивать.
Лицензионная винда XP Prof sp3 без эмуляторов и прочей требухи. Файл spzy.sys изменяет имя при каждой перезагрузке на sp??.sys.
Вам же сказали, что это нормальное явление.
От себя добавлю: и на лицензионных системах такой эмулятор присутствует.
Есть, живёт у вас sptd.sys. Алкоголь/Daemon Tools ставили? Обычно после их удаления зависает в системе.
Был даймон тулз, да. Но на компе всё равно что-то сидит. В логе загрузки ntbtlog.txt есть запись Loaded driver \??\C:\WINDOWS\system32\Drivers\utqymjuy.sys
Файл загружается и сразу исчезает с харда. Вот отчёт с virustotal
Антивирус;Версия;Обновление;Результат
a-squared;4.5.0.50;2010.03.18;Trojan.Win32.Bagle!IK
Authentium;5.2.0.5;2010.03.18;W32/Bagle.IJ
ClamAV;0.96.0.0-git;2010.03.18;Trojan.Agent-66914
eSafe;7.0.17.0;2010.03.17;Win32.Bagle.RC.worm
F-Prot;4.5.1.85;2010.03.17;W32/Bagle.IJ
F-Secure;9.0.15370.0;2010.03.18;Rootkit:W32/Bagle.SR
Fortinet;4.0.14.0;2010.03.18;W32/Bagle.ZNG!worm
Ikarus;T3.1.1.80.0;2010.03.18;Trojan.Win32.Bagle
Jiangmin;13.0.900;2010.03.18;Trojan/Agent.cmdf
K7AntiVirus;7.10.1000;2010.03.17;Trojan.Win32.Malware.1
Norman;6.04.09;2010.03.18;W32/Bagle.GEX
nProtect;2009.1.8.0;2010.03.18;Worm/W32.Bagle.7168
PCTools;7.0.3.5;2010.03.18;Trojan-Downloader.Bagle
Prevx;3.0;2010.03.18;Medium Risk Malware
Rising;22.39.03.04;2010.03.18;Trojan.Win32.Generic.51E920C9
Sunbelt;5948;2010.03.18;Trojan.Win32.Generic!BT
TheHacker;6.5.2.0.236;2010.03.18;Trojan/Rootkit.gen
ViRobot;2010.3.18.2234;2010.03.18;Trojan.Win32.Bagle.7168
CureIt запускали?
Хм, интересное кино, ни Dr.Web, ни KAV не детектируют. Не драйвер ли это AVZPM? Второй эшелон, который вы цитируете, как раз его за Бигля принимает. Пришлите образец по правилам.
CureIt ничего не нашёл. Образец отправил.
[QUOTE='pig;606590'] Не драйвер ли это AVZPM? [/QUOTE]Он самый.
Запустите AVZ и выключите AVZPM. Незачем ему постоянно в памяти болтаться.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]