Показано с 1 по 15 из 15.

qqd.sys убивает win 2003 за 3 секунды (заявка № 11860)

  1. #1
    Junior Member Репутация
    Регистрация
    21.08.2007
    Сообщений
    11
    Вес репутации
    34

    Exclamation qqd.sys убивает win 2003 за 3 секунды

    На виндоус 2003 завёлся qqd.sys, вызывающий синий экран со ссылкой на него через 3 секунды.
    По этой причине ни один из 3х логов в системе win 2003 сделать не удалось.
    Но на всякий случай я поместил здесь логи сделанные в системе Win XP установленной на этом же компьютере.
    Файлы
    C:\WINDOWS\system32\simp_dll.dll
    и
    C:\qqd.sys
    на компьютере присутствуют и при удалении появляются снова.

    \WINDOWS\system32\ntoskrnl.exe при проверке касперским считается не заражённым.

    Файл C:\WINDOWS\system32\svshost.dll на компьютере отсутствует.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от Fixer Посмотреть сообщение
    Н
    Но на всякий случай я поместил здесь логи сделанные в системе Win XP установленной на этом же компьютере.
    это не поможет .... нужны логи 2003 ... Hiack тоже не выходит ? логи АVZ попробуйте в сафе моде ....

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    @Fixer
    давайте так попробуем: BartPE у Вас есть? Если нет - сделайте по ссылке с McAfee-Plagin ом : Bart's Preinstalled Environment (BartPE) bootable live windows CD/DVD , убейте главного зверя, который блокирует запуск. После этого попробуйте сделать логи и дайте на них взглянуть.

  5. #4
    Junior Member Репутация
    Регистрация
    21.08.2007
    Сообщений
    11
    Вес репутации
    34
    Rene-gad

    Я ничего не успеваю сделать в обычном режиме: система виснет (

    Вот логи из сэйф моде:
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\qqd.sys','');
     QuarantineFile('c:\documents and settings\администратор\local settings\temp\~vis0000\fsg_4104.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
     DeleteFile('c:\documents and settings\администратор\local settings\temp\~vis0000\fsg_4104.exe');
     DeleteFile('C:\qqd.sys');
     BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11860

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    Повторите логи,думаю уже получиться из нормального режима,если не выйдет, то сделайте дополнительный лог из безопасного режима, как сказано тут
    http://virusinfo.info/showthread.php?t=10387

    simp_dll.dll - хорошо умеет лечить касперский,можно как вариант деинсталировать нод32 и установить 30 дневную версию касперского,обновить базы и произвести проверку.
    И ещё вопрос,вы делали полную проверку утилитой CureIt?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Fixer Посмотреть сообщение
    Я ничего не успеваю сделать в обычном режиме: система виснет
    да я понял . Вы должны грузить систему с BartPE, т.е. положить CD в драйв и перегрузиться. Если и в этом случае не стартует - тогда проблема в железе.

  8. #7
    Junior Member Репутация
    Регистрация
    21.08.2007
    Сообщений
    11
    Вес репутации
    34
    Muzzle

    Вроде бы всё работает.
    CureIt не проверял, т.к. был взволнован 1й вирусной атакой на Windows используемой для работы.

    Rene-gad

    Ок, буду иметь в виду )

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Логи надо сделать еще разок для проверки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    21.08.2007
    Сообщений
    11
    Вес репутации
    34
    Ок. Похоже не прикрепились.
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить в HijackThis:

    O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\SYSTEM32\dimsntfy.dll','');
     QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Anthill.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    21.08.2007
    Сообщений
    11
    Вес репутации
    34
    Логи пока не сделал, но есть вопрос: у меня 2003 работает как отдельный компьютер. Какой AVP нужно на него установить (http://www.kaspersky.ru/anti-virus_windows_server ?) и есть ли его 30 дневная версия (для этого антивируса я найте её не нашёл)?

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Логи пока не сделал
    Логи пока не надо, нужен карантин после скрипта.
    Загружать через эту страницу:
    http://virusinfo.info/upload_virus.php?tid=11860
    I am not young enough to know everything...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Цитата Сообщение от Fixer Посмотреть сообщение
    Логи пока не сделал, но есть вопрос: у меня 2003 работает как отдельный компьютер. Какой AVP нужно на него установить (http://www.kaspersky.ru/anti-virus_windows_server ?) и есть ли его 30 дневная версия (для этого антивируса я найте её не нашёл)?
    а simp_dll.dll то и не видать больше убили мы гада,поэтому касперского можно уже не ставить,а триальные версии можно скачать тут http://www.kaspersky.ru/trials_business

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\qqd.sys - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.354)


  • Уважаемый(ая) Fixer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Всплывающее окно DOS на доли секунды.
      От marychn1 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.04.2012, 10:04
    2. Ответов: 4
      Последнее сообщение: 23.11.2011, 21:36
    3. Инет вырубается каждые 3-4 секунды
      От kotoshane в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.12.2010, 15:34
    4. IE7 стартует на пол секунды
      От v-i-k-tor в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.06.2010, 12:58
    5. Ответов: 2
      Последнее сообщение: 12.11.2008, 17:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00725 seconds with 25 queries