Согласно инструкции делаю следующее:
1. Скачал AVZ
2. Запустил AVZ и обновил базы. Закрыл AVZ
3. Скачал Hijack, установил его
4. отключил восстановление Винды (XP prof, SP1) Отключил NOD32
5. Запустил AVZ, выбрал скрипт "Лечения/карантина и сбора инфы для раздела..."
6. Нажимаю "выполнить выбранный скрипт", начинает выполняться и через 2 сек компьютер перезагружается с проверкой при загрузке диска С: на ошибки...
Что делаю не так? Как быть?
ЗЫ, В Темпе в Виндосе все время обнаруживается Rootkit.Agent.EY троян, согласно сообщения NOD32. Вот его и пытаюсь извести... и еще что-нить, если найдется...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Все равно, даже в защищенном режиме, и с отключением сетевых драйверов, и в режиме с командной строкой не получается прогнать скрипт до конца.
Из стандартных скриптов, для лечения/карантина и сбора инфы...
Программа АВЗ работает, проверяет по этапам комп, проводит эвристический анализ ... ... и комп перезагружается. Даже в безопасном режиме.
Потом винда проверяет диск С на ошибки, и т.д.
Только Хиджекер работает. Его лог я и прикрепил... пытаюсь
Последний раз редактировалось LegoStav; 21.09.2007 в 18:52.
Вы или не прочли, или невнимательно прочли ссылку, которую дал Bratez. Тем нет ничего про скрипт лечения. Если перезагрузка идет на момент выполнения скрипта лечения, попробуйте сделать логи, начиная с п. 10 правил Если получится, прикрепите их к теме.
И, еще раз, посмотрите и сделайте дополнительный лог, как предложил Bratez
1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить - в процессе ваполнения компьютер аварийно перезагружается 2. 2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол - в процессе переключения компьютер аварийно перезагружается.
Чесслово, устал, уж не знаю что делать... Никаогда еще с такими траблами не сталкивался
качай бетку cureit и по второму пункту правил как написано,
если всё равно не получиться, то удалить нод за нодом замечено- звери его портят, он в ответ систему в синьку бросает
Выполнил второй пункт правил. Из защищенного режима с сидюка запустил утилиту cureit - нашла инфицированный файл C:\WINDOWS\system32\srvany.exe и изолировала его. Больше ничего не нашла.
Запускаю из защищенного режима АВЗ с процедурами:
Файл - исследование системы - все службы и драйверы - при исполнении аварийный перезагруз;
Файл - станд. скрипты - скрипт лечения/карантина для раздела Помогите - перезагруз;
Файл - станд. скрипты - скрипт сбора инфы для раздела Помогите - перезагруз.
Что делать дальше?
Что имелось в виду "если всё равно не получиться, то удалить нод за нодом замечено- звери его портят, он в ответ систему в синьку бросает " Поподробнее, плиз!
Далее, в обычном режиме в АВЗ исполняю стандартный скрипт № 3 "Скрипт лечения/карантина и сбора информации для раздела..."-> перезагруз во время исполнения. Причем, происходит это после проверки запущенных процессов и проверки дисков (при которой находит 2 подозрительных файла, один из них stardrv.exe, второй srefresh.exe в папке драйверов к принтеру, его размер 19,5 кБ.) Когда на экране появляется сообщение "Выполняется исследование системы", комп и перезагружается...
Запускал АВЗ в защищенном режиме винды:
1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить - делает прогон, и ничего как бы не обнаруживает. Протокол не создает. Но при отражении событий во время прогона скрипта есть подозрительное сообщение " 1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]"
Я экранный "протокол" сохранил и прилагаю.
2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол -> в процессе исполнения снова перезагруз компьютера.
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Такая система - практически решето. Настоятельно рекомендуется установить SP2 + последующие обновления (потребуется повторная активация Windows).
И еще посмотрите, что реально нужно из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
Думаю поставить лицензионную Висту, но сомневаюсь - больно много системных ресурсов берет в сравнении с ХР.
Либо лицензионную ХР с SP2. У меня нелегалка сейчас...
>> Службы: разрешена .. RemoteRegistry (Удаленный реестр) - не нужно
>> Службы: разрешена ..TermService (Службы терминалов) - не знаю, что это
>> Службы: разрешена ..SSDPSRV (Служба обнаружения SSDP) - не знаю,что это
>> Службы: разрешена ..Messenger (Служба сообщений) - не нужна
>> Службы: разрешена ..Alerter (Оповещатель) - не нужна
>> Службы: разрешена ..Schedule (Планировщик заданий) - не нужна
>> Службы: разрешена ..mnmsrvc (NetMeeting Remote Desktop Sharing) - не знаю, что это
>> Службы: разрешена ..RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) - не знаю что это, но думаю не нужна
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! - единственный ПК в компании, юзер один
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя - никто кроме меня не юзает
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX - не знаю что это
Что посоветуете делать с операционкой? Оставить ХР, проапгрейпив ее или воткнуть Висту? Что посоветуете из антивирусного софта?
И вот еще. В папке Темп в Виндосе файл stardrv.exe не появляется, но остались два файла ZLT07e1c.TMP и ZLT07e1f.TMP. Они не удаляются и сейчас, и у них раньше всё время менялось название, с каждой загрузкой операционки. Первые буквы ZLT и расширение TMP постоянно, а остальные символы менялись. Может, они тоже с вирусом связаны?
Последний раз редактировалось LegoStav; 24.09.2007 в 11:26.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: