Junior Member
Вес репутации
58
WinXP вываливается в BSOD
При загрузке WinXP в нормальном режиме - вываливается в BSOD. В safe mode загружается нормально. Есть подозрение (и не только первичная проверка подтвердила наличие) на вирус, а точнее на то что вирус был подхвачен и "удачно" обезврежен антивирусом.
Логи прилагаю.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
T:\script1\1.bat - ваше?
Восстановление системы отключите!
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\WinOrganizer\WinOrganizer.exe.bak','');
QuarantineFile('C:\WINDOWS\inet20088\services.exe','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\WINDOWS\System32\9CA963CA.dll','');
QuarantineFile('C:\WINDOWS\System32\8566F82E.dll','');
QuarantineFile('C:\WINDOWS\System32\53360697.dll','');
QuarantineFile('C:\WINDOWS\System32\4EFDDEBE.dll','');
QuarantineFile('C:\WINDOWS\System32\4BF9CBA3.dll','');
QuarantineFile('C:\WINDOWS\System32\495271CA.dll','');
QuarantineFile('C:\WINDOWS\System32\3474A8C2.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\actvcomm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\actser.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\qsp0c5e.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\jlid6fc.sys','');
QuarantineFile('C:\WINDOWS\Help\zpx2.exe','');
QuarantineFile('C:\WINDOWS\System32\gaotimfu.exe','');
QuarantineFile('C:\WINDOWS\system32\imod9.dll','');
DeleteService('Distributed Link Tracking Client Helper');
DeleteService('winsecguard');
DeleteService('ati2inxx');
DeleteService('jlid6fc');
DeleteService('qsp0c5e');
DeleteFile('C:\WINDOWS\system32\imod9.dll');
DeleteFile('C:\WINDOWS\System32\gaotimfu.exe');
DeleteFile('C:\WINDOWS\Help\zpx2.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2inxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\jlid6fc.sys');
DeleteFile('C:\WINDOWS\System32\drivers\qsp0c5e.sys');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\inet20088\services.exe');
DeleteFile('C:\WINDOWS\System32\3474A8C2.dll');
DeleteFile('C:\WINDOWS\System32\495271CA.dll');
DeleteFile('C:\WINDOWS\System32\4BF9CBA3.dll');
DeleteFile('C:\WINDOWS\System32\53360697.dll');
DeleteFile('C:\WINDOWS\System32\8566F82E.dll');
DeleteFile('C:\WINDOWS\System32\9CA963CA.dll');
DeleteFile('C:\WINDOWS\System32\D91BC61E.dll');
DeleteFile('C:\WINDOWS\System32\E4814792.dll');
DeleteFile('C:\WINDOWS\System32\EBE50EA1.dll');
DeleteFile('C:\Program Files\WinOrganizer\WinOrganizer.exe.bak');
BC_Importall;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=43907
Повторите логи.
Junior Member
Вес репутации
58
Вложения
Последний раз редактировалось Rene-gad; 16.04.2009 в 10:55 .
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O1 - Hosts: 195.245.119.131 browser-security.microsoft.com
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\er78675734.exe
O4 - HKCU\..\Run: [InetChk] C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\ms1238304208.exe work
O20 - Winlogon Notify: imod9 - imod9.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\АЛЕКСА~1\locals~1\temp\ms1238304208.exe');
StopService('HBKernel32');
StopService('CbEvtSvc');
QuarantineFile('msansspc.dll','');
QuarantineFile('imod9.dll','');
QuarantineFile('E4814792.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\HBKernel32.sys','');
QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
QuarantineFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\ms1238304208.exe','');
QuarantineFile('c:\docume~1\АЛЕКСА~1\locals~1\temp\ms1238304208.exe','');
QuarantineFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\er78675734.exe','');
QuarantineFile('9CA963CA.dll','');
QuarantineFile('8566F82E.dll','');
QuarantineFile('4EFDDEBE.dll','');
QuarantineFile('495271CA.dll','');
QuarantineFile('3474A8C2.dll','');
QuarantineFile('C:\windows\System32\3474A8C2.dll','');
QuarantineFile('C:\windows\System32\495271CA.dll','');
QuarantineFile('C:\windows\System32\4EFDDEBE.dll','');
QuarantineFile('C:\windows\System32\8566F82E.dll','');
QuarantineFile('C:\windows\System32\9CA963CA.dll','');
QuarantineFile('C:\windows\System32\E4814792.dll','');
QuarantineFile('C:\windows\System32\imod9.dll','');
QuarantineFile('C:\windows\System32\msansspc.dll','');
DeleteFile('C:\windows\System32\3474A8C2.dll');
DeleteFile('C:\windows\System32\495271CA.dll');
DeleteFile('C:\windows\System32\4EFDDEBE.dll');
DeleteFile('C:\windows\System32\8566F82E.dll');
DeleteFile('C:\windows\System32\9CA963CA.dll');
DeleteFile('C:\windows\System32\E4814792.dll');
DeleteFile('C:\windows\System32\imod9.dll');
DeleteFile('C:\windows\System32\msansspc.dll');
DeleteService('HBKernel32');
DeleteService('CbEvtSvc');
DeleteFile('msansspc.dll');
DeleteFile('imod9.dll');
DeleteFile('EBE50EA1.dll');
DeleteFile('E4814792.dll');
DeleteFile('C:\WINDOWS\system32\drivers\HBKernel32.sys');
DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
DeleteFile('c:\docume~1\АЛЕКСА~1\locals~1\temp\ms1238304208.exe');
DeleteFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\ms1238304208.exe');
DeleteFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\er78675734.exe');
DeleteFile('8566F82E.dll');
DeleteFile('53360697.dll');
DeleteFile('4EFDDEBE.dll');
DeleteFile('4BF9CBA3.dll');
DeleteFile('495271CA.dll');
DeleteFile('3474A8C2.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('HBKernel32');
BC_DeleteSvc('CbEvtSvc');
ExecuteRepair(7);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 41 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\drivers\jlid6fc.sys - Rootkit.Win32.Agent.itj ( DrWEB: Trojan.NtRootKit.2796, BitDefender: Rootkit.Otlard.A ) c:\windows\system32\drivers\qsp0c5e.sys - Rootkit.Win32.Agent.itj ( DrWEB: Trojan.NtRootKit.2796, BitDefender: Rootkit.Otlard.A ) c:\windows\system32\imod9.dll - Trojan-Proxy.Win32.Agent.bky