Восстановление работы ОС В

SpankyHam, спасибо за заботу.

(Кстати, ты ее отключал, перед выполнением скрипта? ЭТО ОБЯЗАТЕЛЬНО!)SpankyHam, 22 Апр. 10, 16:48

Отключено всегда. На всякий случай перед операцией проверил.

Хостс я вычистил, вручную, поэтому и садизм. АВЗ делает тоже самое-не просёк сразу.

Да не за что. Мне не трудно. Извини, что не очень оперативно реагирую, слегка привалило текучкой...

Такой был у Андрея. Неубиваемый.SpankyHam, 22 Апр. 10, 16:48

SpankyHam, обрати внимание на последнее сообщение на 3-1 странице данной темы

Андрей, у меня ни одного эмулятора не установлено, и не было никогда на этой системе.

Я знаю

КРОМЕ sptd.sys (!)SpankyHam, 22 Апр. 10, 16:48

Я на это обращаю внимание!
sptd.sys - драйвер ДэймонТулз. Скрытый spХХ.sys - зловред с саморазмножением.

!!!

2. Ищи spwx.sys и другие spXX.sys КРОМЕ sptd.sys (!). Думаю, что все они в C:\WINDOWS\system32\DRIVERS\3. Запиши их размер и дату создания, и, только потом прибивай. sptd.sys НЕ ТРОГАЙ. Предполагаю также атрибут "скрытый".SpankyHam, 22 Апр. 10, 16:48

!!!

SpankyHam, так нет такого файла на жестком диске, который АВЗ находит при сканировании.
Да еще забыл написать при сканировании выбирал всегда пункт "Все службы и драйверы"
Если искать по маске st*.sys находятся sptd.sys и еще какой то с длинным именем.

при сканировании.Андрей, 23 Апр. 10, 11:25

при исследовании или при сканировании?

выбирал всегда пункт "Все службы и драйверы"Андрей, 23 Апр. 10, 11:25

Это лишнее.

еще какой то с длинным именемАндрей, 23 Апр. 10, 11:25

Если атрибут "скрытый" - бей.

При исследовании конечно же.

Вот результат исследования только активных служб и драйверов.

Странно что файл spsj.sys не имеет пути в отчете, в то время как все остальные имеют, например - C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

и файл sp*.sys отсутствует, даже если искать по маске из другой ОС

При перезагрузке он "прячется" в темповые или любые случайные папки, или в своп.

А если поискать в Винде? Поищи, пожалуйста. По его размеру и атрибуту "скрытый" можно найти его "родителей" или наследство.

SpankyHam, я пока отложил всё до среды. Потом обязательно займусь. Не в курсе, какова цель этого вируса, не встречался ранее?

Что-то, как говаривал Жеглов, где нибудь, когда нибудь, уже встречалось. Был похожий не так давно. Симптоматику не помню уже. Завтра еще раз гляну отчет, да погуглю. Сегодня притомился малость. Пятница...

Подожду, что Боря напишет.
Ибо я сразу после исследования пытался искать, ничего не нашел.

Целый день просношался разными антивирусниками. Вот отчет глянь ножалуста

777, выполни чистку системы через мастер поиска и устранения проблем АВЗ (отметь все пункты).
Затем выполни скрипт:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nodqq.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dsoqq.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\herss.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spjz.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dsoqq0.dll','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dsoqq0.dll');
BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dsoqq0.dll');
DeleteFile('C:\WINDOWS\system32\drivers\spjz.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\spjz.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\herss.exe');
BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\herss.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dsoqq.exe');
BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dsoqq.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nodqq.exe');
BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nodqq.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dso32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nod32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки снова отчет сюда.

Дочкин комп  AVZ восстановил! Несколько дней пашет, как говорит, без глюков. Касперыч заработал.
Файлик, на всякий случай:

Запустил скрипт, перезагрузился, вот отчет. Спасибо за ответ

777, это не отчет. Отчет в зипе создаеться автоматом. Поставь птичку "создавать зип", его и прилепи. Жду.
Третий, кроме неубиваемого spXX.sys больше ничего не приметил.

Есть мысля, вырубить комп просто отключив от сети, чтоб этот spXX.sys не успел слинять. Потом грузить командер, хоть может удастся поймать, откуда у него ноги растут.

Третий, его надо ловить по размеру и атрибуту "скрытый".

сорри, вот отчет