ловил вредителей, запортачил систему.

[Пасечник]

добрый вечер, у меня следующая проблема.

в домашней сети есть PC с windows xp pro *86 sp2. неделю назад я удалил появившийся %windir%/system32/logon.exe, так как AntiVir обнаружил в нём что-то, что он называл червяком 'WORM/Autorun.fxb'. в дальнейшем система при старте во время входа пользователя как-бы невзначай единожды жаловалась, что не может обнаружить этот файл, но работала.

сегодня AntiVir начал обращать моё внимание на %windir%/system32\drivers\synsenddrv.sys считая это за 'RKIT/Small.BK'

AntiVir не мог убрать synsenddrv.sys, по крайней мере на большее время, чем пять минут. я стал луркать и нашёл ваш сайт, скачал AVZ, отключил AntiVir, запустил AVZ, обновил базы и запустил сканирование выбрав и лечение. что-то вроде попало в сети, но я в этом не разбираюсь, что-то вылечилось.

далее в AVZ я выполнил первый стандартный скрипт "поиск и нейтрализация руткитов в пользовательском режиме и в режиме ядра"

так же сегодня я подключился к службе windows update и так установил третий servicepack. точную хронологию между установкой SP3 и работой с AVZ я сейчас не могу установить.

возможно что-либо профиксилось не так, возможно мои кривые руки и любопытство поломали систему.

в итоге:

* после старта машины и входа пользователя из welcome-экрана в систему практически сразу вылетает BSOD. иногда мгновенно, реже можно увидеть рабочий стол и раскрыть некоторые папки на нём.
* безопасный режим не работает. система вылетает ещё за долго до экрана приветствия.
* "Последняя удачная конфигурация" конечно работает, в ней я запустил упомянутые в правилах скрипты AVZ и скан HiJackThis. я думаю, что по этой причине "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" не даст лечения. но я всё же сделал все тесты, которые запрашивают правила.


заранее спасибо.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('0000089F.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
 QuarantineFile('c:\windows\system32\wintab32.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
 DeleteFile('0000089F.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Пасечник]

скрипт выполнил, лог после перезагрузки сделал.

как избежать bsod ?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
 SetServiceStart('synsend', 4);
 DeleteService('synsend');
 DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Пасечник]

я думаю, что если использовать каждый раз "Последняя удачная конфигурация" от этого толку не будет, или

[V_Bond]

давайте пробоавать так ....
откройте ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\Select
чему равен LastKnownGood ? пусть например 2 ....
тогда откройте HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services и удаляете все что касается synsenddrv ... затем выполняете скрипт (антивирус лучше деинсталировать) , последующая загрузка последней удачной конфигурации не должна восстановить зловреда

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения вредоносные программы в карантинах не обнаружены