qqd.sys убивает win 2003 за 3 секунды

[Fixer]

На виндоус 2003 завёлся qqd.sys, вызывающий синий экран со ссылкой на него через 3 секунды.
По этой причине ни один из 3х логов в системе win 2003 сделать не удалось.
Но на всякий случай я поместил здесь логи сделанные в системе Win XP установленной на этом же компьютере.
Файлы
C:\WINDOWS\system32\simp_dll.dll
и
C:\qqd.sys
на компьютере присутствуют и при удалении появляются снова.

\WINDOWS\system32\ntoskrnl.exe при проверке касперским считается не заражённым.

Файл C:\WINDOWS\system32\svshost.dll на компьютере отсутствует.

[V_Bond]

Н
Но на всякий случай я поместил здесь логи сделанные в системе Win XP установленной на этом же компьютере.

это не поможет .... нужны логи 2003 ... Hiack тоже не выходит ? логи АVZ попробуйте в сафе моде ....

[Rene-gad]

@Fixer
давайте так попробуем: BartPE у Вас есть? Если нет - сделайте по ссылке с McAfee-Plagin ом : Bart's Preinstalled Environment (BartPE) bootable live windows CD/DVD , убейте главного зверя, который блокирует запуск. После этого попробуйте сделать логи и дайте на них взглянуть.

[Fixer]

Rene-gad

Я ничего не успеваю сделать в обычном режиме: система виснет (

Вот логи из сэйф моде:

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\qqd.sys','');
 QuarantineFile('c:\documents and settings\администратор\local settings\temp\~vis0000\fsg_4104.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
 DeleteFile('c:\documents and settings\администратор\local settings\temp\~vis0000\fsg_4104.exe');
 DeleteFile('C:\qqd.sys');
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11860

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Повторите логи,думаю уже получиться из нормального режима,если не выйдет, то сделайте дополнительный лог из безопасного режима, как сказано тут
http://virusinfo.info/showthread.php?t=10387

simp_dll.dll - хорошо умеет лечить касперский,можно как вариант деинсталировать нод32 и установить 30 дневную версию касперского,обновить базы и произвести проверку.
И ещё вопрос,вы делали полную проверку утилитой CureIt?

[Rene-gad]

Я ничего не успеваю сделать в обычном режиме: система виснет

да я понял . Вы должны грузить систему с BartPE, т.е. положить CD в драйв и перегрузиться. Если и в этом случае не стартует - тогда проблема в железе.

[Fixer]

Muzzle

Вроде бы всё работает.
CureIt не проверял, т.к. был взволнован 1й вирусной атакой на Windows используемой для работы.

Rene-gad

Ок, буду иметь в виду )

[PavelA]

Логи надо сделать еще разок для проверки.

[Fixer]

Ок. Похоже не прикрепились.

[PavelA]

Профиксить в HijackThis:

O20 - Winlogon Notify: arm32reg - C:\WINDOWS\

[Bratez]

Выполните такой скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\SYSTEM32\dimsntfy.dll','');
 QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Anthill.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите новый карантин по правилам.

[Fixer]

Логи пока не сделал, но есть вопрос: у меня 2003 работает как отдельный компьютер. Какой AVP нужно на него установить (http://www.kaspersky.ru/anti-virus_windows_server ?) и есть ли его 30 дневная версия (для этого антивируса я найте её не нашёл)?

[Bratez]

Логи пока не сделал

Логи пока не надо, нужен карантин после скрипта.
Загружать через эту страницу:
http://virusinfo.info/upload_virus.php?tid=11860

[Muzzle]

Логи пока не сделал, но есть вопрос: у меня 2003 работает как отдельный компьютер. Какой AVP нужно на него установить (http://www.kaspersky.ru/anti-virus_windows_server ?) и есть ли его 30 дневная версия (для этого антивируса я найте её не нашёл)?

а simp_dll.dll то и не видать больше убили мы гада,поэтому касперского можно уже не ставить,а триальные версии можно скачать тут http://www.kaspersky.ru/trials_business

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\qqd.sys - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.354)