Не запускается проверка диска, не работает дефрагментация [Rootkit.Win32.TDSS.dah
]
Добрый день! У меня подобная проблема, которая была описана в теме http://virusinfo.info/showthread.php?t=35532.
Не возможно запустить дефрагментацию и проверку диска С:.
После перезагрузки говорит, что проверка невозможна, т.к. системный диск имеет файловую систему RAW.
Проблема возникла скорее всего в следствие трояна Win32/AutoRun.Agent.BE. Вирус был уничтожен программой Nod32 в безопасном режиме. Был заблокирован доступ к диску D: из проводника Windows, при этом выдавалось сообщение, что том ссылается на папку создаваемую вирусом. После чистки вируса проблему решил сменой буквы диска на E: и возвратом обратно на D:.
На текущий момент антивирусные программы ничего не обнаруживают.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
[B]Не работает проверка диска, дефрагментатор, help please!![/B]
Добрый день! У меня подобная проблема, которая была описана в теме http://virusinfo.info/showthread.php?t=35532.
Не возможно запустить дефрагментацию и проверку диска С:.
После перезагрузки говорит, что проверка невозможна, т.к. системный диск имеет файловую систему RAW.
Проблема возникла скорее всего в следствие трояна Win32/AutoRun.Agent.BE. Вирус был уничтожен программой Nod32 в безопасном режиме. Был заблокирован доступ к диску D: из проводника Windows, при этом выдавалось сообщение, что том ссылается на папку создаваемую вирусом. После чистки вируса проблему решил сменой буквы диска на E: и возвратом обратно на D:.
На текущий момент антивирусные программы ничего не обнаруживают.
Дело в том, что наличие этих файлов показывает только эта утилита. Утилита платная и я ее не покупал к сожалению. AVZ переместить эти файлы в карантин не может. НЕ видит попросту. К сожалению более ничем их увидеть нельзя, они как мне кажется физически не присутсвуют в системе.
Проверка по прежнему запускается только из командной строки. После перезагрузки не выполняется - пишет, что файловая система диска С:\ - RAW.
Diskeeper выгружать бесполезно, штатный тоже не работает. Winlogon тоже в карантин? А что с логами?
Последний раз редактировалось serggio; 07.01.2009 в 11:19.
Добрый день еще раз!
К счастью медленно и планомерно прибил гада с помощью GMER.
Гад прописывался как скрытый системный процесс, и с помощью внесения модификации в реестр модифицировал свои пути и пути к системным службам.
Файл находился по адресу " C:\windows\system32\drivers\msqpdxlvhkwkos.sys" , а так же "C:\windows\system32\" - где находилась системная msqpdxlvh~.dll.
К сожалению файл .dll закарнтинить забыл и удалил раньше времени. Файл .sys высылаю в карантине с переименованным расширением.
Так же собрал логи на вылеченной машине, прилагаю, гляньте пожалуйста, вдруг еще чего.
Смущают ветки реестра в логах GMER: HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D3 6E972-E325-11CE-BFC1-08002BE10318}
Огромное спасибо Грише за скрипт! Файл secpol.exe решил изучить и пришел на сайт http://www.prevx.com/filenames/X9104...ECPOL.EXE.html откуда собственно и взял утилиту, которая обнаружила основного зверя.
Теперь функции системы восстановлены, все работает. Спасибо. Логи в аттаче.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: