-
Junior Member
- Вес репутации
- 52
Непрерывная перезагрузка
Доброго времени суток!
Windows XP Home, Dr.Web
На 80 процентах полной проверки на вирусы ушел в перезагрузку.
Безопасный режим, последняя работоспособная конфигурация не загружаются.
Отключил автоматическую перезагрузку:
BSOD: 0x0000007E (0XC0000005, 0x81AD5113, 0xF9E7C7B0, 0xF9E7C4AC)
Все инструменты согласно Правилам скачал, но я так понимаю, что они используются при работающей ОС. Извините, если обратился не по адресу.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 52
А какую команду необходимо выполнить, fixmbr c: ?
-
Да, после выполнения fixmbr c: выполните эту команду--chkdsk c: /p /r
-
-
Junior Member
- Вес репутации
- 52
Здравствуйте.
Консоль восстановления эффекта не дала, но удалось установить систему поверх старой.
Затем сделал все согласно Правил, вот, собственно, логи.
Прошу простить задержку ответов, пишу с другого компьютера, поэтому применять рекомендации могу не сразу.
Последний раз редактировалось kv-kazakov; 10.02.2010 в 21:03.
-
Здравствуйте.
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
QuarantineFile('C:\WINDOWS\Temp\5.tmp','');
DeleteFilemask('C:\WINDOWS\Temp','*.*',true);
DeleteFile('C:\WINDOWS\system\svchost.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
DeleteFile('C:\WINDOWS\TEMP\svchost.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','winupd32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','winupd32');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
Executerepair(16);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
Карантин отослал, новые логи постараюсь отправить завтра.
Спасибо Вам за помощь!
-
Ок! Ждемс.
-
-
Junior Member
- Вес репутации
- 52
-
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
DeleteFile('C:\WINDOWS\system\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 52
Позволил себе добавить точку в конец скрипта.
-
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
DeleteFile('C:\WINDOWS\system\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Здравствуйте.
В карантине AVZ согласно Приложения 3 находится ноль файлов, поэтому прислать его не могу.
-
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено значений реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражено папок:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\WINDOWS\system32\ijao.wto (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
DeleteFile('C:\WINDOWS\system\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Доброго времени суток!
Карантин AVZ пуст, остальное вот.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
DeleteFile('C:\WINDOWS\system\svchost.exe');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system\svchost.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 52
Извиняюсь за долгий перерыв, праздники)
Карантин AVZ - ноль файлов.
-
Выполните скрипт
Код:
begin
RegKeyStrParamWrite('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load', '');
RegKeyStrParamWrite('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load', '');
RebootWindows(false);
end.
Внимание !!! База поcледний раз обновлялась 10.02.2010 необходимо обновить базы при помощи автоматического обновления
Обновите базу АВЗ, сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 52
Здравствуйте.
Вот новые логи AVZ
-
В логах чисто, что с проблемой?
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
Рекомендую обновить, +установить последние обновления на ОС.
-