Через несколько секуд после приглашения нажать контральтдел комп перезагружается.
Через несколько секуд после приглашения нажать контральтдел комп перезагружается.
Последний раз редактировалось yu_mor; 13.06.2007 в 15:18.
@yu_mor
Быстренько Вы забыли, как логи делаются Напоминаю: http://virusinfo.info/showpost.php?p=95587&postcount=1
Сорри, про эксплорер забыл...
Выполните скрипт в AVZ:
Компьютер перезагрузится. Попробуйте в нормальный режим.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\235847218.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys',''); QuarantineFile('C:\44A.tmp',''); BC_DeleteSvc('ip6fw'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\44A.tmp'); BC_Activate; RebootWindows(true); end.
Карантин пришлите согласно приложению 3 правил.
I am not young enough to know everything...
выполнил, отправил.
не помогло.
кстати, файла 235847218.exe я в карантине не нашёл
Еще один скриптик.
Карантин, если попадет что-то новое прислать.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\_v\startdrv.exe',''); QuarantineFile('C:\_v\ksys.sys',''); QuarantineFile('C:\_v\iebzgbz.dll' ,'' ); ExecuteRepair(10); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Тогда хотя бы выполнить скрипт №10 в восстановлении системы.
С расширением tmp файлы создаются при каждой загрузке. Кто-то старается.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
К сожалению в безопасном режиме стандартные логи малоинформативны.
Получить больше информации можно так:
в AVZ - Файл - Стандартные скрипты - отметить #1 - Выполнить,
затем Файл - Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск, сохраните протокол и приложите в виде архива зип или рар.
I am not young enough to know everything...
скрипт №10 в восстановлении системы не помог.
Стандартный скрипт #1 :
прикрепляю sysinfoКод:1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен Ошибка обмена с драйвером [00000002] - [1]
Ага, вот они все и попались! Там целый выводок
Скачайте свежую версию AVZ - 4.25 (у вас 4.24).
Выполните скрипт:
После перезагрузки пробуйте снова нормальный режим.Код:begin BC_DeleteSvc('Ip6Fw'); BC_DeleteSvc('NDnet1'); BC_DeleteSvc('runtime2'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys'); BC_DeleteFile('C:\WINDOWS\system32\ksys.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); BC_Activate; RebootWindows(true); end.
Если пойдет - сделайте новые логи в нормальном.
I am not young enough to know everything...
до выполнения:
1 я нашёл был только в dllcache
2 и 3 кажется я удалял до обращения сюда.
выполнил скрипт
к сожалению, не пошло...Если пойдет - сделайте новые логи в нормальном.
кстати, мои симптомы очень похожи на эту тему
Последний раз редактировалось yu_mor; 13.06.2007 в 17:38.
Может и удаляли, но в реестре записаны эти драйверы и при попытке их запустить могли быть подобные коллизии.2 и 3 кажется я удалял до обращения сюда.
Ну раз все это не помогло, тогда последний совет -
деинсталлируйте NOD32.
I am not young enough to know everything...
Ни в коем случае! Это ж зловреды!попробую тогда их восстановить.
Деинсталлируйте NOD32.
Я не шучу, попробуйте прямо сейчас!
I am not young enough to know everything...
снёс НОД, с горя загрузился с "последней удачной конфигурации"
вот стандартные логи.
А просто в обычном режиме так и не пошел? Ну что ж, хоть так.загрузился с "последней удачной конфигурации"
В логах в принципе чисто. Как выяснилось, там еще драйвер klif от ранее снесенного Касперского болтается (мог кстати с НОДом конфликтовать) и ключ от НОДовского сервиса в реестре остался. Давайте их удалим:
После перезагрузки прикрепите к сообщению файл boot_clr.log из папки с AVZ.Код:begin BC_DeleteSvc('klif'); BC_DeleteSvc('NOD32krn'); BC_DeleteFile('C:\WINDOWS\System32\drivers\klif.sys'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Да, чуть не забыл, еще вот этот, хоть он и не нашелся:
После этого можете ставить НОД обратно, я думаю, все будет ОК.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\235847218.exe'); BC_ImportDeletedList; ExecuteSysclean; BC_Activate; RebootWindows(true); end.
И сделайте для контроля еще раз логи п.10-13 правил.
I am not young enough to know everything...
ух-ты, это получается, я ПОЧТИ сам всё подчистил :-)
Спасибо!
Логи не прикладываю. То, что удаляли, удалилось, и нового ничего не прибавилось.
Уважаемый(ая) yu_mor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.