Добрый день. Кратко предистория: переустанавливал знакомому винду, вирусов было немерено. После переустановки погорячился - антивирусом сразу не проверил, autorun.inf на втором локальном диске снести забыл. В результате, кое-что пролезло назад. Внешних проявлений было много - не запускались диспетчер задач и regedit (заблокирован администратором), safe mode не работал, установить антивирус, или скачать AVZ не удавалось, так же не запускались winrar, foxit pdf reader(почему, ума не приложу), еще что-то. В общем, по полной программе - всё щас и не вспомню, да и не суть. По внешним проявлениям было установлено, что основной враг - "win32.sality". После продолжительной битвы с приминением Live Cd от DrWeb, утилиты "remove sality" и Гугла систему таки удалось вылечить. Почти.
Всё еще остался ряд заблокированных программ. Причём схема блокировки изменилась. Если раньше при попытке запуска выводилось окошко сомнительного содержания, то теперь получается, что программа, вроде, начинает запускаться (указатель сменяется на песочные часы), но, тут же, глушится чем-то. Причем переименования/копирования не помогают. Про ветки в реестре, куда можно вписывать нежелательные программы, читал. Не оно. Судя по всему блокируется оно, по хэшу, или как-то так хитро. Беда эта затронула taskmgr.exe, а также, исполняемые файлы и установщик аваста. Никаких новых программ в этот список не попадает. По-крайней мере я смог скачать другую версию аваста и установить её - она работает, без каких-либо нареканий. Не смотря на то, что ставил я его в ту же папку, по-моему даже.
Ну вот, собственно и проблема. Дико извиняюсь за отсутствие логов. Просто дело было к полуночи, уже не успел. Логи будут в воскресенье вечером. Но если есть какие-то идеи на данном этапе, я был бы безмерно признателен. Ехать туда в четвертый раз (рассказ растянут по времени на один полностью убитый викэнд), очень не хочется.
Последний раз редактировалось Rene-gad; 02.08.2009 в 21:00.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Дело в том, что вылеченный от вируса exe-файл не всегда остаётся работоспособным, особенно когда лечили несколькими антивирусами
В реестре осталась запись драйвера sality.
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
DeleteService('abp470n5');
BC_DeleteSvc('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\iqtlhn.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.
Обновите Java.
Спасибо, сегодня вечером попробую. В прошлый раз меня прервала такая проблема: что-то в определённые часы вешает систему (экран "замерзает" в определённом состоянии, компьютер ни на что не реагирует), и не даёт ей загружаться с теми же симптомами. Вне "часов X" всё нормально, компьютер работает безотказно (явно не железо). Это из-за зловредного драйвера, или что-то ещё упущено?
Добавлено через 1 час 36 минут
Да, причём, что любопытно, перевод часов в биосе ни к чему не приводит.
Последний раз редактировалось Bugagolick; 05.08.2009 в 13:16.
Причина: Добавлено
Скрипт выполнил, логи сделал, только резидентную защиту аваста выключил уже на середине процесса, но, судя по отсутствию взаимных жалоб, на результат это не повлияло. Проблему с повисаниями на сей раз удалось разрешить переводом часов, видимо в прошлый раз со временем не угадал=)
Диспетчер задач не открывается. Симптомы те же.
Taskmgr - без изменений. Про вторую жалобу сказать могу только, что после "DeleteService('abp470n5');" и т.д. проблема не ушла. Сделать новый лог?
Добавлено через 7 минут
Насчёт теории AndreyKa о порче файлов, md5 taskmgr.exe - 9AA996860CD1D3C2C3018B9B82D1DAA9 .
Могу проверить дома - там винда ставилась с этого же диска, и, так же как и здесь, не обновлялась.
Лог, на всякий случай, сделал.
Последний раз редактировалось Rene-gad; 05.08.2009 в 20:13.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Блокировка запуска исполняемых файлов.
Логи будут в воскресенье вечером. Но если есть какие-то идеи на данном этапе, я был бы безмерно признателен. Ехать туда в четвертый раз (рассказ растянут по времени на один полностью убитый викэнд), очень не хочется.
