Думаю проблема глубже, чем кажется. Прошу Вашей помощи! Несколько пояснений что я сделал: сразу отмечу-действовал по инструкции!
1)произвел проверку Доктором Вебом, скачанным 12.04.08 в 15 часов, начал проверку. Проверил диск С без ошибок, но трояны были! При проверке диска D вылетел синий экран и ноутбук завис-пришлось выключить принудительно, после этого хотел сразу войти в Безопасный режим(нажимал F - не получилось, горел черный экран с _ символом в левом верхнем углу. Понадобилось снова отключение. Потом прошла проверка на ошибки и, наконец, снова был запущен доктор Веб в Безопасном режиме, но история в точности повторилась, и снова синий экран, при проверке диска D(могу выложить его фото). Запустил отдельно проверку диска D в безопасном режиме - прошла без осложнений.
2.Далее все делал по инструкции - получилось!(искал, трояны находил, удалял - но проблемы остались)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Вам дали ссылку для отправки карантина, зачем вы прикрепили его сюда?
2. Почему логи в безопасном режиме? Надо сделать в нормальном, с запущенным IE, как написано в правилах.
Ошибка карантина файла, попытка прямого чтения (avldr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\avldr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\avldr.dll)
Карантин с использованием прямого чтения - ошибка
Прямым путем доступа к файлам нет
C:\WINDOWS\avldr.dll
C:\WINDOWS\system32\avldr.dll Вылетает сообщение:
"Не удается найти file:///c:/WINDOWS/system32/avldr.dll. Проверьте правильность пути или адреса в Интернете." и такое же сообщение для "C:\WINDOWS\avldr.dll" адреса
1.Скрипт выполнил
2.Сделал еще раз проверку и логи
Смущают вот эти надписи:
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552380
KiST = 805011FC (284)
Функция NtCreateKey (29) перехвачена (80618E86->BA6AB0E0), перехватчик spoc.sys
Функция NtEnumerateKey (47) перехвачена (806196C6->BA6C8CA2), перехватчик spoc.sys
Функция NtEnumerateValueKey (49) перехвачена (80619930->BA6C9030), перехватчик spoc.sys
Функция NtOpenKey (77) перехвачена (8061A21C->BA6AB0C0), перехватчик spoc.sys
Функция NtQueryKey (A0) перехвачена (8061A540->BA6C910, перехватчик spoc.sys
Функция NtQueryValueKey (B1) перехвачена (80616F40->BA6C8F8, перехватчик spoc.sys
Функция NtSetValueKey (F7) перехвачена (80617546->BA6C919A), перехватчик spoc.sys
-----------------------------------
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 899D1500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89E511F8 -> перехватчик не определен
Что они означают?
Да, а что было вот это:
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
C:\WINDOWS\Installer\55148.msi/{MS-OLE}/\96 >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00511B0B 08CD8ABD 001C13F0 001FD6D9 5324
C:\WINDOWS\Installer\{A1200000-0004-0000-0000-074957833700}\ICON_SetupPalm.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00511B0B 08CD8ABD 001C13F0 001FD6D9 5324
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Если я от всего уже избавился, дайте совет какой антивирус лучше (Dr.Web?), какой версии? И какой файервол ставить Agnitum Outpost?(он у меня стоял, но как видно допустил заражение системы, стоит ли теперь доверять? Или не в нем дело?) Спасибо
Карантин загрузил.
Забыл отметить, что пользуюсь файлообменной сетючерез такие клиенты как Apex DC+, GreyLink, стоит ли продолжать это делать? Подозрение на заражение у меня, именно, на неё. До пользования ФОС проблем не было вовсе. Если поьзоваться можно, то как настроить Агнитум (использование его с ФОС сплошное мучение, приходится всё время вручую разрешать процессы). Программы качать из ФОС опасно-это спору нет, а безопасно ли видео и фото, документы?
IRP перехваты от эмулятора дисков,вам нет повода беспокоиться, по поводу выбора антивируса:Касперский или Dr.Web,Agnitum Outpost оставьте хороший фаерволл,универсальной защиты не существует,все зависит от вас
Уважаемый(ая) zonet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: