-
Junior Member
- Вес репутации
- 63
синий экран смерти после лечения CureIt
ситуация следующая: шэф отдал ноут со словами что NOD32 постоянно выкидыват сообщения о заражении компа. Запустил CureIt? он нашел 6 или 7 вирусов и кучу файлов в temp, зараженных трояном, после перезагрузки системы, стал появляться синий экран смерти (что на нем написано посмотреть не могу так как он мигает очень быстро) и бросается в перезагрузку. На F8 не раегирует, поэтому в безопасный режим не попасть... Запустил с miniXP... Удалил папку ESET (были пару раз проблемы с NOD до этого, как раз с синим экраном). HiJackThis не запускается (выдает Run-time error "50003"). Прогнал стандартные скрипты и надеюсь на вашу помощь...
PS в корне c:\ удалил штук 6 файлов autorun с различными расширениями...
Последний раз редактировалось Antonnio; 24.09.2007 в 12:02.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах ничего непонятно.
Видна только система, с которой грузился.
У НоДа есть еще amon.sys. Он в папке drivers сидит.
Он часто последнее время выдает BSOD.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
спасибо, помогло, я думал что amon сидит в ESET...
загрузился, повторно выполнил скрипты, прилагаю...
из видимых траблов - заблокирован диспетчер задач
Последний раз редактировалось Antonnio; 24.09.2007 в 12:02.
-
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKUS\S-1-5-21-2434824367-2154331282-2641058567-1003\..\Run: [NeroFilterCheck] sрoоlsv.exe (User '?')
O4 - HKUS\S-1-5-21-2434824367-2154331282-2641058567-1003\..\Run: [Firewall auto setup] C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\winlogon.exe (User '?')
O14 - IERESET.INF: START_PAGE_URL=http://www.msi.com.tw
O20 - AppInit_DLLs: C:\WINDOWS\system32\win_5o.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sрoоlsv.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\win_5o.dll','');
QuarantineFile('C:\WINDOWS\SOUNDMAN.EXE','');
QuarantineFile('C:\WINDOWS\system32\SHELL32.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\Program Files\MSI\System Control Manager\MGKBHook.dll','');
DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\system32\win_5o.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12399
3.вроде родной файлик C:\WINDOWS\system32\svchost.exe удалили - нужно с диска ХP вернуть на место.
4. Сделайте новые логи после лечения и присоедините к следующему сообщению
Последний раз редактировалось drongo; 12.09.2007 в 20:43.
-
-
Junior Member
- Вес репутации
- 63
вроде помогло... спасибо. высылаю карантин и новые логи... вроде AVZ на что-то там еще ругается...
Файл сохранён как 070912_124127_virus_46e824c7b4b23.zip
просканил ad-aware с последними базами - нашел Win32.TrojanDownloader.Small в 32 обьектах...
Последний раз редактировалось Antonnio; 24.09.2007 в 12:02.
-
временные файлы почистить, там пинчи- воруют пароли Менять пароли, если успеете.
можно использовать ccleaner. http://soft.softodrom.ru/ap/p5628.shtml только при установке снять галку с установки тулбара.
C:\Program Files\MSI\System Control Manager\MGKBHook.dll- сами ставили? икарус говорит троян , меняющий стартовую страницу. ждём ответа аналитиков
какой именно файл нашёл adaware ?
сделать лог hijack this.
Добавлено через 11 минут
C:\WINDOWS\system32\svshost.dll-что делает в автозапуске- для меня загадка, в карантин он не попал- попробуйте руками запаковать в zip с паролем virus
Последний раз редактировалось drongo; 12.09.2007 в 22:12.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 63
извиняюсь за задержку в ответе, сидели вчера без инета...
почистил CCleaner-ом temp
MSI насколько я понял какая-то служебная прога, ноут был куплен уже с ней...
лог в HiJackThis прикрепляю...
файл virus тут прикрепить или закачать черз какую форму или по почте отправить?
да, еще... повторное сканирование Ad-Aware ничего не нашло, но в процессе сканирования NOD ругнулся пару раз на Win32/Nuwar.Gen
Последний раз редактировалось Antonnio; 24.09.2007 в 12:02.
-
Профиксить:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
Затем выполнить скрипт в AVZ:
Код:
begin
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.
Я бы еще профиксил:
Код:
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
или просто деинсталлировал PartyPoker.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
на partypokere человек играет в покер on-line...
-
Сообщение от
Antonnio
на partypokere человек играет в покер on-line...
Тогда оставляем Adware там сидит, и траффик жрет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-