-
Junior Member
- Вес репутации
- 49
Последствия неизвестного вируса
Как сказано в названии поста, имеем Win XP (от 2002 г. с SP3 и больше нет никаких обновлений), NOD SmartSec. с обновлениями февраля 2010 г., еще ZoneAlarm стоял и блочил сеть - был снесен. Пока работала ось успел сделать только этот лог.
ПРОБЛЕМА: при загрузке ОС не появляется окна приветствия, а только на голубом фоне логотип "Corporation Microsoft Windows XP"
и все (три клавиши не работают) только активный курсор мышки и индикатор HDD мигает. Ждал более 2-х часов, в безопасном режиме тоже самое, почистил все темпы и просканил AVZ и Cureit весь ж.диск и реестр, последний удачный запуск - все тоже окно и нет дальнейшей загрузки. В реестре нашел косяки в Userinit, исправил, но не помогло, заменял Userinit и Explorer на дистрибутивные - все без толку. ПОМОГЛО: откат на первую (2009 г.) точку восстановления, а потом на точку 13.11.2010 г. и ОС запустилась. Переустановил NOD SmartSec, обновил, снес ZoneAlarm, восстановление ОС AVZ, еще проверки на вирусы NOD и AVZ и вроде бы все... НО ПРОБЛЕМА2: при попытке запуска любого интернет браузера черный экран, и потом опять окно на голубом фоне логотип "Microsoft Windows XP" и все (не три клавиши) только активный курсор мышки и индикатор HDD мигает. Если возможно прошу помочь, переустановкой решится, НО что если это вырастет в эпидемию?! Спасибо.
P.S. Ща попробую прилепить лог AVZ (Исследование системы), позже могу сделать HiJackThis? если поможет или это обязательно.
Последний раз редактировалось serga1; 14.11.2010 в 20:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Pentium\.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
DeleteService('SSPORT');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\SSPORT.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\Documents and Settings\Pentium\.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 49
Последний раз редактировалось V_Bond; 14.11.2010 в 21:53.
-
читаем приложение 3 правил
-
-
Junior Member
- Вес репутации
- 49
Извините, исправился - я тут впервые. Подтвердите получение карантина пожалуйста.
Последний раз редактировалось serga1; 15.11.2010 в 10:36.
-
Получен.
Ждем новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Выполнил ComboFix (пришлось полностью снести антивир + загрузка теперь только в Б.Режиме )
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\amd64si.sys
Driver::
amd64si
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Опс...а на каком этапе она должна была исчезнуть? проверю позже, нет пока возможности. А в чем причина вылета в это "непонятное окно" была неизвестно? СПАСИБО заранее
-
Junior Member
- Вес репутации
- 49
Сообщение от
thyrex
Что с проблемой?
Проблема ушла, но при попытке запустить IE, он сразу же выключается (вылетает IE). Несколько попыток переустановки IE8, и в стандартных ОС не исправило проблему, но это уже не важно, опера и FFox работают. Правда пришлось еще заменить на оригинальный webcheck.dll, а то инета не было. Спасибо еще раз, вопрос по заразе остается открытым: что вызвало выскакивания в "голубой экран XP"?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения вредоносные программы в карантинах не обнаружены
-