Показано с 1 по 7 из 7.

Подозрение на вирус! (заявка № 60349)

  1. #1
    Junior Member Репутация
    Регистрация
    12.05.2009
    Адрес
    Красноярск
    Сообщений
    4
    Вес репутации
    32

    Thumbs up Подозрение на вирус!

    Добрый день!
    Используя программу AVZ про сканировал систему, был найден перехватчик spcl.sys. Средствами AVZ перехватчик удаляется, но после перезагрузки он появляется с другим именем. На диске этот файл найти не удается. Есть предположение, что имеется перехватчик обращений к файловой системе. Внешне система работает стабильно. Посоветуйте, пожалуйста, как удалить эти перехватчики.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\temp\puca63.exe');
     QuarantineFile('c:\windows\temp\puca63.exe','');
     DeleteFile('c:\windows\temp\puca63.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы


    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    12.05.2009
    Адрес
    Красноярск
    Сообщений
    4
    Вес репутации
    32

    Выполнил скрипт в avz

    Карантин согласно Приложения 3 прислать не могу, он пуст.

    Перехватчик sp**.sys, у этого файла меняются два последних символа (отмечены *) при перезагрузке.
    Что можно делать если AVZ пишет "перехватчик не определен"?
    Проблема осталась.
    Последний раз редактировалось kvant-p; 16.11.2009 в 12:26.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Цитата Сообщение от kvant-p Посмотреть сообщение
    sp**.sys
    Все это дети эмулятора дисков sptd.sys

    C:\WINDOWS\TEMP\DOB43.EXE поищите и пришлите согласно Приложения 2 правил
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    12.05.2009
    Адрес
    Красноярск
    Сообщений
    4
    Вес репутации
    32

    Проблема решена!

    Перехватчиком был эмулятор дисков sptd.sys (спасибо thyrex).
    Отключил SPTD через Regedit:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Start выставить значение 4 (не загружать).
    Файл C:\WINDOWS\TEMP\DOB43.EXE скорее всего был результатом работы Антивируса TrendMicro, (в текущих логах c:\windows\temp\kvc7fd.exe это потомок Антивируса).

    Спасибо всем кто помогал решить проблему!
    Логи, по-моему чистые.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от kvant-p Посмотреть сообщение
    Перехватчиком был эмулятор дисков sptd.sys
    Файл C:\WINDOWS\TEMP\DOB43.EXE скорее всего был результатом работы Антивируса TrendMicro
    Все верно.

    В логах ничего плохого не видно.
    Отключите восстановление системы для профилактики,
    потом можете включить обратно.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    12.05.2009
    Адрес
    Красноярск
    Сообщений
    4
    Вес репутации
    32
    Отключите восстановление системы для профилактики,
    потом можете включить обратно.
    Выполнил. Спасибо.

    Тему считаю закрытой.

  • Уважаемый(ая) kvant-p, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на вирус
      От Unisell в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.09.2010, 13:30
    2. Подозрение на вирус
      От tatoshka в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.09.2010, 20:03
    3. Подозрение на вирус
      От fantazer333 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.09.2010, 16:46
    4. Подозрение на вирус
      От Hruuum в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:02
    5. Подозрение на вирус
      От Мурад в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.01.2009, 11:15

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01493 seconds with 16 queries