-
Junior Member
- Вес репутации
- 62
Нужна помощь
Добрый день.
Без Вашей помощи не разобраться.
Был обычный рабочи день, т.е. комп. работал с оф. программами, периодически просматривал сайты (по работе ). И вдруг антивирус Avast 4.7 Home один за одним начал вылавливать вирусы (к сожелению не обратил внимания на их название, я их автоматом удалял), потом Аваст просканировал комп до запуска системы (ОС Win XP Pr, сетка из 4-х комп., выход в интернет через ADSL) и удалил еще два вируса. Но после этого, при запуске системы Аваст находит файл (C\WINDOWS\SYSTEM32\Deflib.sys) и система зависает. Только одна из нескольких попыток запустит комп успешная, периодически выскакивает синий экран (... damage to you computer. BAD_POOL_CALLER).
Попытка удалить файл(по адресу который дает Аваст) руками ( в "Безопасном режиме") - не успешна. Вирус опять появляется.
Логи прилагаю, если нужен фото полной надписи на синем экране, то тоже могу приложить.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось ig473; 10.03.2009 в 20:59.
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Orbitdownloader\orbitcth.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\temp\winlogon.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин по ссылке.
Подготовить диск с дистрибутивом ХР.
C:\WINDOWS\system32\linkdel.cmd - этот файлик мне кажется уже проверяли. если нет, то добавить его в карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
а почему не по правилам ? нужно обновить AVZ .
аваст вместе со всеми прогами кроме браузера отключить перед сканированием.
-
-
Junior Member
- Вес репутации
- 62
Прошу прощения.
AVZ только сегодня загрузил (вроде должен быть свежим, но в любом случае сейчас обновлю)
По поводу откл. аваст, то извиняюсь, наверное после перезагрузки при выполнении второго скрипта забыл выкл.
Мне повторить логи или выполнить, то что посоветовал PavelA?
-
ig473, выполнить, что сказал Павел.
читать внимательней правила.ещё не раз придётся делать логи, поверь
-
-
Junior Member
- Вес репутации
- 62
Отправил, только опять слегка напортачил.
Файлик вложил не в карантин, а отправил отдельным архивом.
-
Лучше переделай по Правилам. Он же не только к нам идет, но и в антивирусные компании.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Переделал. Добавил файл в архив (дам где карантин) с паролем "virus".
-
Сообщение от
ig473
Переделал. Добавил файл в архив (дам где карантин) с паролем "virus".
А почему нельзя сделать как написано, не понимаю ;( там автоматом нужный пароль ставиться.
-
-
Вот так номер: C:\WINDOWS\system32\linkdel.cmd оказался заразой !!
Будем удалять.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
ExecuteSysClean;
RebootWindows(true);
end.
Сейчас посмотрю все остальное.
На будущее: на карантин AVZ автоматом ставит пароль. Самодеятельности тут не надо.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сейчас буду выполнять.
ПС То, что AVZ автоматом ставит пароль понятно, а вот как в карантин надо было правильно добавить данный файл?
-
ig473, Приложение номер 2 правил прочитай
-
-
tcpip.sys - чистый
C:\WINDOWS\system32\ntoskrnl.exe - чистый
c:\windows\system32\winlogon.exe - чистый
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
При каждой перезагрузке аваст пишет " C\WINDOWS\SYSTEM32\Deflib.sys содержит образец Win32:Agent-KDS" и если я в течении двух секунд успел нажать "в хранилище", то дальше все оК, а если нет, то система виснет (если нажать "удалить", система тоже виснет)
-
tcpip.sys - чистый
C:\WINDOWS\system32\ntoskrnl.exe - чистый
c:\windows\system32\winlogon.exe - чистый
Зато c:\windows\temp\winlogon.exe - Trojan-Proxy.Win32.Small.gk.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\Deflib.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и сделайте новые логи.
I am not young enough to know everything...
-
-
Сообщение от
Bratez
Зато c:\windows\temp\winlogon.exe - Trojan-Proxy.Win32.Small.gk.
Ну, не могу я его проверять. У меня Симантек его влет убьет, а названия приличного не скажет.
Меня больше обрадовало, что системные файлы чистые.
Последний раз редактировалось PavelA; 18.09.2007 в 17:02.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось ig473; 10.03.2009 в 20:59.
-
Живуч гад
Повторим еще разок.
Код:
begin
BC_DeleteFile('linkdel.cmd');
BC_Activate;
RebootWindows(true);
end.
Есть правда смутное ощущение, что что-то мы не видим.
Сделай лог в Safe Mode из http://virusinfo.info/showthread.php?t=10387
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Теперь вроде все чисто.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Каково самочувствие пациента?
I am not young enough to know everything...
-