-
Junior Member
- Вес репутации
- 62
Троян на ноуте и startdvr.exe
Ноут грузится минут 5
После проверки в SM Drweb обнаружил:
paging.sys
C:\
Trojan.Proxy.1942
Удален.
startdrv.exe
C:\WINDOWS\Temp
BackDoor.Bulknet
Удален.
outpost21pro.ini
C:\Program Files\DrWeb\infected.!!!
Возможно, SCRIPT.Virus
A0033824.dll
C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163
Trojan.Proxy.1942
Удален.
A0049832.dll
C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163
Trojan.Proxy.1942
Удален.
A0050826.dll
C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163
Trojan.Proxy.1942
Удален.
A0053825.dll
C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163
Trojan.Proxy.1942
Удален.
A0054826.dll
C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163
Trojan.Proxy.1942
Удален.
A0056829.dll
C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP163
Trojan.Proxy.1942
Удален.
A0084255.dll
C:\System Volume Information\_restore{08F5E746-2DB0-400
6-AF3E-FFBAA5C7808A}\RP169
Trojan.Proxy.1942
Удален.
A0084389.sys
C:\System Volume Information\_restore{08F5E746-2DB0-4006-AF3E-FFBAA5C7808A}\RP170
Trojan.Proxy.1942
Удален.
Ранее Drweb поместил в infected description.ini
spoolsvv.exe был удален в ручную.
Восстановление системы отключил.
при загрузке системы появляется предупреждение "Cannot initialize Drweb Interception Control(DRWSPCNT.DLL)
При попытке проверить AVZ-перезагрузка. При проверке в SM-перезагрузка...
Как ещё возможно создать логи?
Прикреплены доп.логи...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Fox
При попытке проверить AVZ-перезагрузка. При проверке в SM-перезагрузка...
Получаете при этом синеву? Что на ней написано?
-
-
Junior Member
- Вес репутации
- 62
Только успеваю
прочесть techical support
-
Сообщение от
Fox
прочесть techical support
мдя, немного... и никакой информации вида: STOP: 0x0????????????? ?
-
-
Сделать полную проверку дисков при помощи Cure-It.
Профиксить для начала в HijackThis:
Код:
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\iazzgq.dll
O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Program Files\Common Files\winctl.dll (file missing)
Это малая часть того, что надо вычистить.
Затем попробовать сделать доп. лог. Как сделано написано в разделе "Чаво"
Кстати, видны еще следы Касперского в виде отсутствующего файла.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
Сделать полную проверку дисков при помощи Cure-It.
Профиксить для начала в HijackThis:
Код:
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\iazzgq.dll
O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Program Files\Common Files\winctl.dll (file missing)
Это малая часть того, что надо вычистить.
Затем попробовать сделать доп. лог. Как сделано написано в разделе "Чаво"
Кстати, видны еще следы Касперского в виде отсутствующего файла.
пофиксил. в SM не хочет грузиться. удалось только лог в Hijack сделать...
Сообщение от
Rene-gad
мдя, немного... и никакой информации вида: STOP: 0x0????????????? ?
0x000000008 увидел вроде бы...
-
Сообщение от
Fox
в SM не хочет грузиться. удалось только лог в Hijack сделать
Прикрепи его сюда + сделай доп. лог (см. раздел "Чаво"). Надо будет бороться с лишними сервисами. Больше информации даст GetSystemInfo с сайта Касперского.
Не забудь отключить Восстановление системы и провериться "чистым" Cure-It, взятым с другого компьютера.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Как получить дополнительный лог написано здесь.
-
-
Junior Member
- Вес репутации
- 62
Могу только лог от HiJack getsysifo прикрепить
В SM не удается сделать доп.логи- синий экран
Последний раз редактировалось Макcим; 02.08.2007 в 15:32.
-
1. Переименуйте папку с AVZ в 123, а файл avz.exe в 123.exe.
2. После переименования попробуйте сделать ещё раз логи как обычно.
-
-
Junior Member
- Вес репутации
- 62
Переименовал, но
тоже самое. при выполнении скрипта №1
обнаружена маскировка процесса 11086 iexploer.exe
по-моему так...
-
Отключите восстановление системы!
Пуск - Настройка - Панель управления - Администрирование - Службы. Ищите в списке Microsoft ASPI Manager (aspimgr). Щелкаете два раза ставите тип запуска на "Отключено". Перезагружаете компьютер.
"Фиксите" в HijackThis
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
O22 - SharedTaskScheduler: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - (no file)
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)
Перезагружаетесь ещё раз и пробуете запустить AVZ.
-
-
\??\C:\WINDOWS\System32\drivers\runtime.sys
\??\C:\WINDOWS\system32\windev-263e-27fc.sys
- вот это нам и мешает.
Вдобавок замусоренный файл Hosts - заблокированы антивирусы.
Думается лучшим выбором будет проверка CureIt с загрузкой с CD.
Надо скачать на другом РС CureIt, записать на CD. Затем загрузиться с загрузочного CD и запустить CureIt. Проверять диск ПОЛНОСТЬЮ, а не только экспресс-проверкой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
