Показано с 1 по 12 из 12.

Синий экран при активации сетевого соединения (заявка № 22888)

  1. #1
    Junior Member Репутация
    Регистрация
    14.05.2008
    Сообщений
    6
    Вес репутации
    32

    Thumbs up Синий экран при активации сетевого соединения

    Доброго времени суток!

    Вполне вероятно, что моя проблема связана с железом, но не дает покоя результаты проверки системы AVZ.
    При работе в инете через IE на неприкрытой машине (w2k server, нет антивируса и файрвола) произошел вылет системы в синий экран (ошибка 0Х00..1Е). Дальнейшие варианты загрузок/перезагрузок показали, что система вывыливается при активации сетевых протоколов. При загрузке в безопасном режиме, но с поддержкой сетевых протоколов система тоже вываливается в синьку. Загрузиться можно только в полностью безопасном режиме. После удаления сетевых протоколов (TCP/IP) и запрета активации сетевой карты систему удалось загрузить в обычном режиме.
    После этого были сделаны попытки установить заново драйвера сетевой карты и протокола TCP/IP - бесполезно. При активации сетевой карты - вылет с той же ошибкой.
    Была установлена другая сетевая карта - те же результаты.
    Использование утилиты winsockXPfix.exe не решило проблему.

    В логах AVZ проскакивает некий "Bqy71.sys" - модуль пространства ядра. Что за модуль - я не знаю. Ранее проводимые проверки этого сервера AVZ его не выявляли.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

    2. Запустите, слева внизу нажмите File, затем найдите файлы:
    C:\WINNT\system32\Drivers\Bqy71.sys
    и если будет, C:\WINNT\system32\WLCtrl32.dll
    и сделайте им Force Delete.

    3. Пофиксите в HijackThis, если такая строка будет:
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINNT\SYSTEM32\WLCtrl32.dll
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\winnt\system32\nwprovau.dll','');
     QuarantineFile('C:\WINNT\SYSTEM32\subsys.dll','');
      DeleteFile('C:\WINNT\system32\WLCtrl32.dll');
    DeleteFile('C:\WINNT\system32\Drivers\Bqy71.sys');
    DeleteFile('WLCtrl32.dll');
    BC_ImportAll;
    BC_DeleteSvc('Bqy71');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22888
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    14.05.2008
    Сообщений
    6
    Вес репутации
    32
    Отправил архив с карантином....

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Dm.Sergienko Посмотреть сообщение
    Отправил архив с карантином....
    Логи повторите, плиз

  6. #5
    Junior Member Репутация
    Регистрация
    14.05.2008
    Сообщений
    6
    Вес репутации
    32
    Угу, готово). И ради интереса прогнал карантинные файлы через вирустотал.....

    AhnLab-V3 2008.5.15.0 2008.05.15 -
    AntiVir 7.8.0.17 2008.05.15 HEUR/Crypted
    Authentium 5.1.0.4 2008.05.15 -
    Avast 4.8.1195.0 2008.05.14 -
    AVG 7.5.0.516 2008.05.15 -
    BitDefender 7.2 2008.05.15 BehavesLike:Trojan.WinlogonHook
    CAT-QuickHeal 9.50 2008.05.14 -
    ClamAV 0.92.1 2008.05.15 -
    DrWeb 4.44.0.09170 2008.05.15 -
    eSafe 7.0.15.0 2008.05.14 -
    eTrust-Vet 31.4.5788 2008.05.14 -
    Ewido 4.0 2008.05.14 -
    F-Prot 4.4.2.54 2008.05.15 -
    F-Secure 6.70.13260.0 2008.05.15 -
    Fortinet 3.14.0.0 2008.05.15 -
    GData 2.0.7306.1023 2008.05.15 -
    Ikarus T3.1.1.26.0 2008.05.15 -
    Kaspersky 7.0.0.125 2008.05.15 -
    McAfee 5295 2008.05.14 -
    Microsoft 1.3408 2008.05.13 -
    NOD32v2 3101 2008.05.15 -
    Norman 5.80.02 2008.05.14 -
    Panda 9.0.0.4 2008.05.14 Suspicious file
    Prevx1 V2 2008.05.15 -
    Rising 20.44.30.00 2008.05.15 -
    Sophos 4.29.0 2008.05.15 -
    Sunbelt 3.0.1114.0 2008.05.12 -
    Symantec 10 2008.05.15 -
    TheHacker 6.2.92.309 2008.05.13 -
    VBA32 3.12.6.6 2008.05.14 -
    VirusBuster 4.3.26:9 2008.05.14 -
    Webwasher-Gateway 6.6.2 2008.05.15 Heuristic.Crypted

    DrWeb 4.44.0.09170 2008.05.15 -
    Kaspersky 7.0.0.125 2008.05.15 -
    =============================
    Нашим вендорам сами разошлёте)?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 15.05.2008 в 16:00.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Dm.Sergienko Посмотреть сообщение
    Нашим вендорам сами разошлёте)?
    Касперский получает файлы автоматически, когда Вы их загружаете .
    В порядке паранойи: Попробуйте найти и закачать файл C:\WINNT\System32\ntoskrnl.exe . Уж очень он какой-то подозрительный (дата создания 01.01.1980 - тогда еще и IBM PC не было на свете - и сигнатура кракозябрами написана)

  8. #7
    Junior Member Репутация
    Регистрация
    14.05.2008
    Сообщений
    6
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Касперский получает файлы автоматически, когда Вы их загружаете .
    Понятно. Dr.Web'y я вышлю тогда.

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Попробуйте найти и закачать файл C:\WINNT\System32\ntoskrnl.exe . Уж очень он какой-то подозрительный (дата создания 01.01.1980 - тогда еще и IBM PC не было на свете - и сигнатура кракозябрами написана)
    1. Забросил на вирустотал - чисто.
    2. Сейчас через форму заброшу файл и сюда.
    3. В настоящее время сама система (операционка) работает стабильно. Сетевушка тоже запустилась нормально.
    Последний раз редактировалось Dm.Sergienko; 15.05.2008 в 17:03.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    NTOSKRNL.exek

    Вредоносный код в файле не обнаружен.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Какие-то проблемы остались ?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Junior Member Репутация
    Регистрация
    14.05.2008
    Сообщений
    6
    Вес репутации
    32
    Цитата Сообщение от kps Посмотреть сообщение
    Какие-то проблемы остались ?
    Нет, слава богу, всё вылечилось/пофиксилось)

  12. #11
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

    Вы можете нас отблагодарить, оказав нам помощь в сборе безопасных файлов. Мы будем Вам очень благодарны!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\winnt\\system32\\subsys.dll - Trojan-Downloader.Win32.Small.vuy (DrWEB: Trojan.DownLoader.60052)


  • Уважаемый(ая) Dm.Sergienko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 30.04.2012, 13:30
    2. Ответов: 1
      Последнее сообщение: 04.04.2012, 20:33
    3. Ответов: 4
      Последнее сообщение: 11.05.2011, 18:08
    4. Ответов: 2
      Последнее сообщение: 22.06.2009, 08:39
    5. Ответов: 1
      Последнее сообщение: 09.06.2006, 12:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01270 seconds with 25 queries