Проблема состоит в следующем. 1. Компьютер не запускается в безлопастном режиме. До переустановки ОС выдавал синее окно с надписью вирус. После переустановки ОС и попытки попасть в безлопастный режим перезагружает компьютер. 2. Антивирусное ПО (Dr.Web) устанавливается без проблем, после перезагрузки компьютера и попытки стартовать сканером он (сканер) выгружается из системы. При проверке винта на другом компьютере вирусов не обнаружил, при сканировании с флешки бесплатной утилитой Dr.Web launch Вирусы не обнаружены. Nod32 стартует, работает проверяет, вырусов нету. 3. Попытки открыть Панель управления =>Администрирование =>Управление компьютером окно открывается и сразу закрывается, тот же эффект при попытках выполнить cmd, просмотреть установленное оборудование. 4. После скачки и распаковки (согласно правилам) запуск и попытки обновить AVZ сразу приводит к закрытию данного скрипта. 5. Ещё интересный баг отсутствует как понятие "Свойства папки". З.Ы. К сожалению на компьютере ценная информация и в таком объёме, что перенести её на другой носитель практически не представляется возможным. Если есть возможность окажите помощь в борьбе с данным вирусом. З.З.Ы. В том что вирус сомнений нету через флешку уже заразился второй компьютер.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Внимание !!! База поcледний раз обновлялась 09.07.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 22.11.2008 13:51:11
Загружена база: сигнатуры - 175549, нейропрофили - 2, микропрограммы лечения - 56, база от 09.07.2008 21:59
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 71502
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B180)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552180
KiST = 80501030 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
>>>> Обнаружена маскировка процесса 1948 c:\windows\system32\symdrvmn.exe
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 19
c:\documents and settings\Миша\Рабочий стол\evrika.pif - PE файл с нестандартным расширением;PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 40%)
Анализатор - изучается процесс 1948 C:\WINDOWS\system32\symdrvmn.exe
[ES]:Может работать с сетью
[ES]:Опасно - подозрение на троянскую программы с FU-Based руткитом
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:С высокой степенью вероятности может бороться с антивирусами
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Количество загруженных модулей: 210
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\Open]
>>> F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\shell\open\command]
>>> Обратите внимание - заблокирован редактор реестра
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Блокировка редактора реестра
>> Заблокированы настройки системы System Restore
>> Проводник - заблокирован доступ к свойствам папки
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 229, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 22.11.2008 13:51:28
Сканирование длилось 00:00:17
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы
Исследование системы завершено
Архив закачан, логи прикрепленны. При выполнении скрипта который вы указалит, на каком то этапе компьютер завершил работу всех приложений, оставив на экране только заставку рабочего стола и не реагировал ни на что кроме кнопки на системнике, после пеерзагрузки слетели дрова Lan, и попытки их установить ник чему не приводят.
Последний раз редактировалось V_Bond; 23.11.2008 в 17:28.
Причина: карантин в теме
Не возможно обновить базы "Ошибка в ходе автоматического обновления- Ошибка загрузки файла с описанием обновления avzupd.zip c http://www.z-oleg.com/secur/avz_up/ (21,00002EE2)
Добавлено через 2 минуты
Сообщение от Roslik
Не возможно обновить базы "Ошибка в ходе автоматического обновления- Ошибка загрузки файла с описанием обновления avzupd.zip c http://www.z-oleg.com/secur/avz_up/ (21,00002EE2)
UPD. разобрался обновляет
Последний раз редактировалось Roslik; 23.11.2008 в 20:39.
Причина: Добавлено
Спасибо жалоб нету только благодарность. И ещё вопрос для лечения вротого компьютера с той же проблемой воспользываться теми скриптами которые вы писали? или надо заново логи выкладывать????? Заранее благодарен за ответ и оказанную помощь.
UPD. Как узнать что за вирус сидел и почему его вебер не нашол?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: