-
Junior Member
- Вес репутации
- 62
Через несколько минут после логина - синий экран IRQ_NOT_EQUAL....
Отлечил по Правилам, выловил прилично всякого, причем AVZ оба раза отработала, но сейчас войдешь и, судя по всему после загрузки всего что автогрузится вылетаеи в синий экран. Гляньте пож-та логи - может осталось что-то или ясно станет что сломалось.
Последний раз редактировалось ascodts; 01.04.2009 в 11:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\birdie.exe');
StopService('puqotluv');
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\WINDOWS\TEMP\birdie.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\puqotluv.sys','');
DeleteService('puqotluv');
DeleteFile('msansspc.dll');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('C:\WINDOWS\TEMP\birdie.exe');
DeleteFile('C:\WINDOWS\system32\drivers\puqotluv.sys');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\Program Files\ContentSaver\ContentSaver.dll');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{29F340EA-2108-40d0-94A0-62EC2B9EDF59}');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('puqotluv');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось ascodts; 01.04.2009 в 11:51.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-854245398-492894223-2147099427-1005\Dc25.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-854245398-492894223-2147099427-1005\Dc26.mp3','');
QuarantineFile('C:\RECYCLER\S-1-5-21-854245398-492894223-2147099427-1005\Dc27.mp3','');
DeleteFile('C:\RECYCLER\S-1-5-21-854245398-492894223-2147099427-1005\Dc25.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-854245398-492894223-2147099427-1005\Dc26.mp3');
DeleteFile('C:\RECYCLER\S-1-5-21-854245398-492894223-2147099427-1005\Dc27.mp3');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
DeleteFileMask('C:\aac0617e68cd640cf0fa37','*.*',true);
DeleteDirectory('C:\aac0617e68cd640cf0fa37');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось ascodts; 01.04.2009 в 11:51.
-
Пофиксить
Код:
O2 - BHO: RuPass module - {954A0637-9147-4b5e-964E-9F20E58FC29D} - C:\Program Files\RuPass\RuPass.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{954A0637-9147-4b5e-964E-9F20E58FC29D}');
DeleteFile('C:\Program Files\RuPass\RuPass.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
В логах чисто, установите SP3+all updates...
-
-
Junior Member
- Вес репутации
- 62
Система валилась все равно пока не снес Каспера. Теперь все отлично! СПАСИБО!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\temp\birdie.exe - Trojan-Spy.Win32.Zbot.nka ( BitDefender: Trojan.Waledac.Gen.1 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-