Руткит?

[Anonymous]

subj.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Anonymous]

Карантин отправил, логи прикладываю. Драйвер постоянно меняет своё имя на sp*.sys

[Гриша]

В логах чисто, это драйвер эмулятора дисков...

[Anonymous]

нет, эмулятор диска я уже деинсталлировал, к томуже он постоянно меняет имя.

[Гриша]

Вы мне не верите? Драйвера остаются даже после удаления...

Добавлено через 1 минуту

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('sptd');
 DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');
 DeleteFile('splq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sptd');    
BC_Activate;
RebootWindows(true);
end.

Теперь он пропадет...

[Anonymous]

у эмулятора диска драйвер называется sptd.sys, а здесь
splq.sys

[Гриша]

Я уже все написал... sptd.sys это отец sp**.sys

[Anonymous]

Да, проблема решилась. Спасибо.

[V_Bond]

ise32.exe_ - Virus.Win32.Agent.bc выполните полную проверку СureIt

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\ise32.exe - Worm.Win32.AutoRun.dmh (DrWEB: Win32.HLLW.Flooder.1)