Неизвестный вирус

Борюсь уже недели две.
Вообщем у меня перестали удаляться исполняемые файлы с рабочего стола. Unlocker показывает, что файлы заняты процессом c:\Windows\Explorer.exe, сам с трудом (тормозя) удаляет их.
Пробовал грузится в безопасном режиме, создавать другие учетные записи - та же история. Подозрительных лишних файлов в автозагрузке не обнаружено.
AVZ пишет:
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_CREATE] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A4541F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A4541F8 -> перехватчик не определен

[COLOR=black]Вот собственно и вопрос - что это может быть?
Ни один антивирус ничего подозрительного не находит, но наличие вируса налицо[/COLOR]
[/COLOR][/SIZE]

Раз вы до AVZ уже добрались, [url=http://virusinfo.info/showthread.php?t=1235]проведите полное обследование[/url].

P.S. Может быть много чего. Алкоголь, например.

[quote=pig;255739]Раз вы до AVZ уже добрались, [URL="http://virusinfo.info/showthread.php?t=1235"]проведите полное обследование[/URL].

P.S. Может быть много чего. Алкоголь, например.[/quote]
Логи во вложении.

[quote=pig;255739]
Алкоголь, например.[/quote]
Алкоголь не установлен вообще.

Вот теперь и я вижу, что не установлен.

P.S. virusinfo_cure - это карантин, его к теме цеплять нельзя. Отправите по красной ссылке, если попросят.

[quote=pig;255810]Вот теперь и я вижу, что не установлен.

P.S. virusinfo_cure - это карантин, его к теме цеплять нельзя. Отправите по красной ссылке, если попросят.[/quote]
Так что - кирдык, это не лечится?

перехваты у вас от Daemon tools - 100 % , деинсталируйте исчезнут ( правда драйвер придется удалять вручную) ....
насчет исполняемых файлов на рабочем столе , ошибку выдает ?

[quote=V_Bond;256270]перехваты у вас от Daemon tools - 100 % , деинсталируйте исчезнут ( правда драйвер придется удалять вручную) ....
насчет исполняемых файлов на рабочем столе , ошибку выдает ?[/quote]
Драйвер вручную снести - через стандартную оснастку диспетчера устройств, или этого не достаточно будет?

деисталируйте демона ... затем выполните стандартный скрипт 2 приложите лог ... дочистим скриптом ...

[quote=V_Bond;256275]деисталируйте демона ... затем выполните стандартный скрипт 2 приложите лог ... дочистим скриптом ...[/quote]
Удалил. Пока что ситуация не изменилась.
Файл лога почему то не прикладывается :(

где лог ?

[quote=V_Bond;256538]где лог ?[/quote]
Не понял смысла, но почему то не дает загружать одноименные файлы на форум. Удалил старые. Вот новый.
Что то глючит - вложение упорно не хочет прикладываться к посту.
Вот ссылка на него [url]http://virusinfo.info/attachment.php?attachmentid=61773&d=1216308980[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[url]http://virusinfo.info/attachment.php?attachmentid=61773&d=1216308980[/url]

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('sptd');
DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

[quote=V_Bond;256547]выполните скрипт ...
[quote]

ситуация не изменилась

ну конечно ... его не так просто удалить ...
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\Drivers\sptd.sys - force delete
затем предыдущий скрипт ...

[quote=V_Bond;256570]ну конечно ... его не так просто удалить ...
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL]C:\WINDOWS\System32\Drivers\sptd.sys - force delete
затем предыдущий скрипт ...[/quote]
Удалил...
Проблема осталась.

лог во вложении

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('sptd', 4);
StopService('sptd');
DeleteService('sptd');
DeleteFile('spbs.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sptd ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...

[quote=Гриша;256629][URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]



Повторите логи...[/quote]
Не помогло. Логи во вложении.

а кстати почему то вышеуказанный лог не меняется. меняется только этот :

ну все прибили перехватов от демона нет ...

[quote=V_Bond;256649]ну все прибили перехватов от демона нет ...[/quote]
Ну вот... так:

ну и что , адобе встраивает свой плагин ...

[quote=V_Bond;256655]ну и что , адобе встраивает свой плагин ...[/quote]
Так с [B]любым[/B] исполняемым файлом на рабочем столе, не только с этим.

это больше на глюк рку похоже ...

[quote=V_Bond;256661]это больше на глюк рку похоже ...[/quote]
рку .. ?

Rootkit Unlocker

[quote=Гриша;256666]Rootkit Unlocker[/quote]
Это в состав avz входит? Так проблема возникла до его наличия в системе.
Или в avast он тоже есть?

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Нет у меня в системе такой софтины :-)

просто нечто подобное наблюдал в RkU (Rutkit unhooker) .
какие конкретно у вас проблемы ? авз ничего плохого не видит ...

[quote=V_Bond;256678]просто нечто подобное наблюдал в RkU (Rutkit unhooker) .
какие конкретно у вас проблемы ? авз ничего плохого не видит ...[/quote]
Не видит, но оно есть. Подозреваю заражение системных файлов. Пытаюсь вычислить "бяку", которая блокирует исполняемые файлы на рабочем столе. Проблема на самом деле не новая, когда звонил в мелкософт - сказали что проблема им известна, что связана с вирусным поражением системных файлов и что решается на сегодняшний момент только переустановкой windows, чего мне делать очень не хочется... хотя если здесь не помогут - придется.. Просто вирус интересный... было бы неплохо получить его экземпляр и отправить в какую нить антивирусную лабораторию.

каких системных ... ? если есть конкретные подозрения - пришлите файлы , вирлаб их проанализирует на наличие вредоносного кода ...

[quote=V_Bond;256759]каких системных ... ? если есть конкретные подозрения - пришлите файлы , вирлаб их проанализирует на наличие вредоносного кода ...[/quote]
Если бы знать... Давно бы уже прислал :-)
Еще раз повторюсь, и пропишу симптомы
1) Исполняемые на рабочем столе блокируются для исполнения процессом explorer.exe независимо от пользователя, его привелегий и режима загрузки ОС (даже в безопасном режиме блокируются)
2) Есть еще один симптом, указывающий по моему субъективному мнению на наличие кейлогера - punto switchwer иногда вставляет символы в другой раскладке посередине слова, что по моему опыту происходило всегда при наличии в системе кейлогеров (так например у меня на работе)

[QUOTE=GorMih;256770]1) Исполняемые на рабочем столе блокируются для исполнения процессом explorer.exe независимо от пользователя, его привелегий и режима загрузки ОС (даже в безопасном режиме блокируются)[/QUOTE]
Политики ограниченного использования программ (или как-то так примерно) не проверяли?
Да, что за файлы такие, на каком рабочем столе они лежат (личный или общий) и как вообще там оказались?

На закладке "Безопасность" у этих файлов все в норме. Имеется ли доступ к ним Администратора, пользователя.

[quote=pig;256780]Политики ограниченного использования программ (или как-то так примерно) не проверяли?
[/quote]
Эти политики отключены
[quote=pig;256780]
Да, что за файлы такие, на каком рабочем столе они лежат (личный или общий) и как вообще там оказались?[/quote]
Рабочий стол у каждого пользователя отдельный. Файлы там оказались случайно - просто во время загрузки с инета сохранил на рабочий стол, чтобы потом далеко не лезть :-) Это не важно..
Важно то , что я допустим создаю нового пользователя, захожу под ним в систему, копирую на рабочий стол любой exe файл, после чего он мнгновенно блокируется процессом explorer.exe - независимо от того, в каком режиме загружена ОС. Причем другие файлы не блокируются и с ними можно делать все что угодно. Пользователи имеют права администратора, соответственно с политикой безопасности здесь связи не вижу.

[quote=PavelA;256807]На закладке "Безопасность" у этих файлов все в норме. Имеется ли доступ к ним Администратора, пользователя.[/quote]

Имеется. На вкладке "Безопасность" все в норме

[size="1"][color="#666686"][B][I]Добавлено через 1 час 20 минут[/I][/B][/color][/size]

Ну что - надежды никакой - переустанавливать систему, как и в мелкософте сказали ? :-)

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 38 минут[/I][/B][/color][/size]

Я так понял ни у кого пальцы не повернулись написать "да" ... Но молчание - знак согласия. Сношу винды. Спасибо за "помощь" :-)

[QUOTE=GorMih;256842]создаю нового пользователя, захожу под ним в систему, копирую на рабочий стол любой exe файл, после чего он мнгновенно блокируется процессом explorer.exe - независимо от того, в каком режиме загружена ОС. Причем другие файлы не блокируются и с ними можно делать все что угодно.[/QUOTE]
В порядке полнейшегл бреда - Active Desktop включён у всех пользователей?

[quote=pig;257047]В порядке полнейшегл бреда - Active Desktop включён у всех пользователей?[/quote]
Нет, Active Desktop был отключен вообще :-)
Проблема решилась только переустановкой ОС, неизвестный вирус так и остался неизвестным.

Сорри, если мы Вам не смогли помочь. Мы, (коллектив ВИ) анализируем только логи АВЗ и HijackThis. Если Мы ничего не увидели, то не стоит обижаться на нас.

Мы лечим только от малваре, все остальное на добровольных началах.

З.Ы. Если обидитесь, пишите мне в ЛС. Буду стараться помочь. :)

[QUOTE=PavelA;295939]Сорри, если мы Вам не смогли помочь. Мы, (коллектив ВИ) анализируем только логи АВЗ и HijackThis. Если Мы ничего не увидели, то не стоит обижаться на нас.

Мы лечим только от малваре, все остальное на добровольных началах.

З.Ы. Если обидитесь, пишите мне в ЛС. Буду стараться помочь. :)[/QUOTE]
Обижаться и в мыслях не было. Дело в том, что я и сам неплохо разбираюсь в поиске и устранении вирусов. Сюда обратился в надежде, что люди знают больше меня :-) Думал полезным будет - снести и переустановить систему с переустановкой всего софта - для меня пара часов, а вот обнаружить новый вирус и создать для него антивирусную защиту - дело чести, пожалуй :) Просто жаль, что не вышло, и всего то :-)