Показано с 1 по 5 из 5.

WinXP вываливается в BSOD (заявка № 43907)

  1. #1
    Junior Member Репутация
    Регистрация
    05.07.2008
    Адрес
    Донецк, Ростовская обл.
    Сообщений
    39
    Вес репутации
    31

    Exclamation WinXP вываливается в BSOD

    При загрузке WinXP в нормальном режиме - вываливается в BSOD. В safe mode загружается нормально. Есть подозрение (и не только первичная проверка подтвердила наличие) на вирус, а точнее на то что вирус был подхвачен и "удачно" обезврежен антивирусом.
    Логи прилагаю.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    T:\script1\1.bat - ваше?

    Восстановление системы отключите!
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\WinOrganizer\WinOrganizer.exe.bak','');
     QuarantineFile('C:\WINDOWS\inet20088\services.exe','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     QuarantineFile('C:\WINDOWS\System32\9CA963CA.dll','');
     QuarantineFile('C:\WINDOWS\System32\8566F82E.dll','');
     QuarantineFile('C:\WINDOWS\System32\53360697.dll','');
     QuarantineFile('C:\WINDOWS\System32\4EFDDEBE.dll','');
     QuarantineFile('C:\WINDOWS\System32\4BF9CBA3.dll','');
     QuarantineFile('C:\WINDOWS\System32\495271CA.dll','');
     QuarantineFile('C:\WINDOWS\System32\3474A8C2.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\actvcomm.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\actser.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\qsp0c5e.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\jlid6fc.sys','');
     QuarantineFile('C:\WINDOWS\Help\zpx2.exe','');
     QuarantineFile('C:\WINDOWS\System32\gaotimfu.exe','');
     QuarantineFile('C:\WINDOWS\system32\imod9.dll','');
     DeleteService('Distributed Link Tracking Client Helper');
     DeleteService('winsecguard');
     DeleteService('ati2inxx');
     DeleteService('jlid6fc');
     DeleteService('qsp0c5e');
     DeleteFile('C:\WINDOWS\system32\imod9.dll');
     DeleteFile('C:\WINDOWS\System32\gaotimfu.exe');
     DeleteFile('C:\WINDOWS\Help\zpx2.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati2inxx.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\jlid6fc.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\qsp0c5e.sys');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\inet20088\services.exe');
     DeleteFile('C:\WINDOWS\System32\3474A8C2.dll');
     DeleteFile('C:\WINDOWS\System32\495271CA.dll');
     DeleteFile('C:\WINDOWS\System32\4BF9CBA3.dll');
     DeleteFile('C:\WINDOWS\System32\53360697.dll');
     DeleteFile('C:\WINDOWS\System32\8566F82E.dll');
     DeleteFile('C:\WINDOWS\System32\9CA963CA.dll');
     DeleteFile('C:\WINDOWS\System32\D91BC61E.dll');
     DeleteFile('C:\WINDOWS\System32\E4814792.dll');
     DeleteFile('C:\WINDOWS\System32\EBE50EA1.dll');
     DeleteFile('C:\Program Files\WinOrganizer\WinOrganizer.exe.bak');
    BC_Importall;
     ExecuteRepair(6);
      ExecuteRepair(8); 
       RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=43907
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    05.07.2008
    Адрес
    Донецк, Ростовская обл.
    Сообщений
    39
    Вес репутации
    31
    Цитата Сообщение от light59 Посмотреть сообщение
    T:\script1\1.bat - ваше?
    Файл T:\script1\1.bat скорее всего наш Машина не моя, но диск T - сетевой.
    Карантин выслал. В догонку до запуска скрипта поставил SP2 для WinXP - система начала грузиться в стандартном режиме

    А вот и свежие логи. Насколько я понял - AVZ не смог удалить файлы .
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 16.04.2009 в 10:55.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O1 - Hosts: 195.245.119.131 browser-security.microsoft.com
    O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\er78675734.exe
    O4 - HKCU\..\Run: [InetChk] C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\ms1238304208.exe work
    O20 - Winlogon Notify: imod9 - imod9.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\docume~1\АЛЕКСА~1\locals~1\temp\ms1238304208.exe');
     StopService('HBKernel32');
     StopService('CbEvtSvc');
     QuarantineFile('msansspc.dll','');
     QuarantineFile('imod9.dll','');
     QuarantineFile('E4814792.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\HBKernel32.sys','');
     QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
     QuarantineFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\ms1238304208.exe','');
     QuarantineFile('c:\docume~1\АЛЕКСА~1\locals~1\temp\ms1238304208.exe','');
     QuarantineFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\er78675734.exe','');
     QuarantineFile('9CA963CA.dll','');
     QuarantineFile('8566F82E.dll','');
     QuarantineFile('4EFDDEBE.dll','');
     QuarantineFile('495271CA.dll','');
     QuarantineFile('3474A8C2.dll','');
     QuarantineFile('C:\windows\System32\3474A8C2.dll','');
     QuarantineFile('C:\windows\System32\495271CA.dll','');
     QuarantineFile('C:\windows\System32\4EFDDEBE.dll','');
     QuarantineFile('C:\windows\System32\8566F82E.dll','');
     QuarantineFile('C:\windows\System32\9CA963CA.dll','');
     QuarantineFile('C:\windows\System32\E4814792.dll','');
     QuarantineFile('C:\windows\System32\imod9.dll','');
     QuarantineFile('C:\windows\System32\msansspc.dll','');
     DeleteFile('C:\windows\System32\3474A8C2.dll');
     DeleteFile('C:\windows\System32\495271CA.dll');
     DeleteFile('C:\windows\System32\4EFDDEBE.dll');
     DeleteFile('C:\windows\System32\8566F82E.dll');
     DeleteFile('C:\windows\System32\9CA963CA.dll');
     DeleteFile('C:\windows\System32\E4814792.dll');
     DeleteFile('C:\windows\System32\imod9.dll');
     DeleteFile('C:\windows\System32\msansspc.dll');
     DeleteService('HBKernel32');
     DeleteService('CbEvtSvc');
     DeleteFile('msansspc.dll');
     DeleteFile('imod9.dll');
     DeleteFile('EBE50EA1.dll');
     DeleteFile('E4814792.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\HBKernel32.sys');
     DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
     DeleteFile('c:\docume~1\АЛЕКСА~1\locals~1\temp\ms1238304208.exe');
     DeleteFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\ms1238304208.exe');
     DeleteFile('C:\DOCUME~1\АЛЕКСА~1\LOCALS~1\Temp\er78675734.exe');
     DeleteFile('8566F82E.dll');
     DeleteFile('53360697.dll');
     DeleteFile('4EFDDEBE.dll');
     DeleteFile('4BF9CBA3.dll');
     DeleteFile('495271CA.dll');
     DeleteFile('3474A8C2.dll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('HBKernel32');
     BC_DeleteSvc('CbEvtSvc');
    ExecuteRepair(7);
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,531
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 41
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\jlid6fc.sys - Rootkit.Win32.Agent.itj ( DrWEB: Trojan.NtRootKit.2796, BitDefender: Rootkit.Otlard.A )
      2. c:\windows\system32\drivers\qsp0c5e.sys - Rootkit.Win32.Agent.itj ( DrWEB: Trojan.NtRootKit.2796, BitDefender: Rootkit.Otlard.A )
      3. c:\windows\system32\imod9.dll - Trojan-Proxy.Win32.Agent.bky


  • Уважаемый(ая) boy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вываливается синий экран
      От WagonZ в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 20.02.2011, 13:35
    2. Nod обновляется на 6-13% и вываливается
      От IT service в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.12.2010, 14:55
    3. После лечение вываливается в синий экран
      От Evdokim_A в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.10.2010, 11:08
    4. Ответов: 9
      Последнее сообщение: 23.04.2010, 14:06
    5. Ответов: 7
      Последнее сообщение: 09.11.2008, 17:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00765 seconds with 22 queries