Проблемы при загрузке ОС

**greemL1n** · 08.03.2009, 09:00

Доброго времени суток.
При попытке загрузить Windows, с включённым модемом, система практически сразу же перезагружается. С выключённым модемом или при загрузке в безопасным режиме всё ок. Если же включить можемпосле загрузки ОС, то cFosSpeed регистрирует, что идет скачивание практически на максимальной скорости и через пару секунд компьютр перезагружается. Поэтому Скрипт сбора информации для раздела "Помогите!" virusinfo.info я делал при отключённом интеренете.
Заранее спасибо.

Также AVPTool зафиксировал Type_Win32 модификации

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 08.03.2009, 09:14

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Система поражена файловым вирусом.
Рекомендации тут: http://virusinfo.info/showthread.php?t=15927.
Перед началом лечения обязательно отключите восстановление системы!

После ликвидации файлового вируса порядок действий следующий:
1. Скачать заново AVZ и HijackThis.
2. Обновить базы AVZ.
3. Пофиксить в HijackThis:

Код:

O2 - BHO: (no name) - AutorunsDisabled - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Администратор\reader_s.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

4. Перезагрузить компьютер.
5. Сделать новый комплект логов.

**greemL1n** · 08.03.2009, 09:20

Можно ли записать образ LiveCD с заражённого компьютера?

**Bratez** · 08.03.2009, 09:38

Я думаю, что можно. Вряд ли вирус способен внедриться в ISO образ.

**Синауридзе Александр** · 08.03.2009, 10:50

Сообщение от Bratez

Я думаю, что можно. Вряд ли вирус способен внедриться в ISO образ.

А если вирус находится в памяти компьютера? Виндузятники в основном используют неру, который способен подвесить любой процесс производящий обращение к CD/DVDROM. Из-за чего привод может быть намертво заблокирован.

**Bratez** · 08.03.2009, 11:09

Александр, насколько я понял, вопрос был не о том, удастся ли выполнить запись, а о том, будет ли полученный диск свободен от вируса. Я полагаю, что будет.

**greemL1n** · 08.03.2009, 11:11

Сделал всё вышеуказанное, но
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
так и осталось

**Синауридзе Александр** · 08.03.2009, 11:21

Сообщение от greemL1n

Сделал всё вышеуказанное, но
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
так и осталось

А вы уже что всю машину просканировали по этой методике http://virusinfo.info/showthread.php?t=15927

**greemL1n** · 08.03.2009, 11:23

Я воспользовался LiveCD и так как у меня зашифрованы все жёсткие диски кроме системного это не заняло много времени

**Синауридзе Александр** · 08.03.2009, 11:26

Вы нам пришлите зараженный avz.exe, только предварительно прочтите правила как надо присылать зараженные файлы.

Добавлено через 2 минуты

Сообщение от greemL1n

Я воспользовался LiveCD и так как у меня зашифрованы все жёсткие диски кроме системного это не заняло много времени

И что же он нашел? Вы запускаете avz и вирус сразу же его заражает.

Чем зашифрованы?

**greemL1n** · 08.03.2009, 11:30

Отправлено

Добавлено через 32 секунды

Best Crypt Volume

**Синауридзе Александр** · 08.03.2009, 11:31

Сообщение от Bratez

Александр, насколько я понял, вопрос был не о том, удастся ли выполнить запись, а о том, будет ли полученный диск свободен от вируса. Я полагаю, что будет.

Он может и будет свободен от вируса, но где гарантия что все запишется так как надо.

Имхо, лишние движения на машине зараженной файловым вирусом крайне не желательны.

**Bratez** · 08.03.2009, 11:38

Virut.56 - совсем свежий. Возможно в той сборке DrWeb CD его просто еще не было. KAV его тоже пока не видит.

**greemL1n** · 08.03.2009, 11:40

Что посоветуете?

**Синауридзе Александр** · 08.03.2009, 11:43

Ну вот у Вас новый Virut. Кстати Касперский его пока не видит.

Скачайте Live CD Vba32 у меня в подписи. И просканируйте машину с помощью него/ все зараженные файлы естественно лечить/ Меню там не сложное так что разберетесь там все на русском

Добавлено через 55 секунд

Сообщение от Bratez

Virut.56 - совсем свежий. Возможно в той сборке DrWeb CD его просто еще не было. KAV его тоже пока не видит.

Он его не сможет обновить/

**greemL1n** · 08.03.2009, 11:44

Ок, спасибо, сейчас сделаю.

**Синауридзе Александр** · 08.03.2009, 11:46

ftp://vba.ok.by/vba/vbarescue.iso качать отсюда! Объем около 80 метров

**greemL1n** · 08.03.2009, 11:48

У меня написано что объём 18мб

**Синауридзе Александр** · 08.03.2009, 11:49

Прежде чем сканировать внимательнейшим образом пройдитесь по настройкам (поставьте на максимум + сделайте лог и запишите его на флэш если у вас есть такая возможность)/ спасибо