Здравствуйте!
Прошу мне помочь вылечить следующие симптомы:
1. Система постоянно выдает сообщение "Защита файлов Windows: Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. ....".
Выдержка из системного журнала: Была обнаружена попытка замены защищенного системного файла beep.sys
После выполнения требования вставить установочный диск Windows, при следующей перезагрузке все повторяется.
2. Не может запуститься защита KAV 2009 (был установлен после заражения)
3. Утилита Dr. Web CureIt вызывает синий экран (прилагается фото)
Перед этим лечил диск методом подключения к другому компьютеру при помощи корпоративного Kaspersky 6 со свежими базами. Что-то было найдено, но похоже не все.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Скрипт выполнил. Карантин выслал.
Единственный момент: Перезагрузил систему вручную, так как скрипт этого не сделал.
Сообщения о подмене файла больше не появляются. Однако KAV все также не работает.
C:\WINDOWS\system32\Drivers\Ntfs.sys = Rootkit.Win32.HareBot.br
это системный файл и без него компьютер не загрузится.
Загрузитесь в Безопасном режиме, переименуйте C:\WINDOWS\system32\Drivers\Ntfs.sys и запишите на его место чистый из дистрибутива или другого компьютера.
После этого повторите лог по пункту 2 Диагностики.
1. Выполнил. После перезагрузки выдал опять сообщение "Защита файлов Windows". В системных логах сообщений на этот счет не последовало Запустил системную утилиту "SFC - проверка системных файлов" и подсунул дистрибутив.
После перезагрузки в системный лог посыпалось множество сообщений
1. Обнаружена попытка замены защищенного системного файла c:\windows\system32\drivers\beep.sys. Этот файл восстановлен до исходной версии для обеспечения стабильности системы. Версия системного файла 5.1.2600.0.
2. Не удалось установить связь DCOM с компьютером PC3 через один из настроенных протоколов.
Итак:
1. Вручную в защищенном режиме заменил файл beep.sys
2. Пофиксил указанные пункты
Результат тот-же. Похоже что-то в системе пытается менять по своему усмотрению beep.sys
Касперский не запускает защиту. На всякий случай его скриншот высылаю.
Карантин выслал.
Еще предпринял следующие действия:
1. Удалось запустить утилиту Dr. Web CureIt!. Кое что нашла.
2. Создал на другом компьютере аварийный диск KAV 6 с последними обновлениями и пролечил систему. Лог прилагается.
Тем не менее ситуация не изменилась. KAV 2009 - защита не работает, beep.sys - провоцирует программу защиты системных файлов
Система вылечена.1. С помощью утилиты jv16 PowerTools 2009 проанализировал реестр и нашел много мусора от предыдущих версий Касперского, Nod32, DrWeb и т.д. По-видимому устанавливали и некорректно удаляли.2. С помощью переменной среды devmgr_show_nonpresent_devices = 1 нашел также в списке устройств следы от драйверов касперского и удалил их.3. Установил SP34. Установил Касперского 2009Все стабильно работает, подозрительной активности не наблюдается.Огромное спасибо за помощь!!!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: