-
Junior Member
- Вес репутации
- 52
BSOD на 3х компах в одно и тоже время
Всем привет! Столкнлся с одной интересной проблемой.
Каждый день РОВНО в 11:09 (к слову, терракт с близнецами) 3 компа из 10 перезагружаются. 1 из них мой ноутбук, поэтому на железо не грешу. У всех остальных стоят ибп. Что только не делал...осталось только систему убить.
Поэтому прошу помощи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Help\sysmon.chm:SxHV:$DATA','');
QuarantineFile('E:\setup.exe','');
QuarantineFile('C:\WINDOWS\system32\6B5.tmp','');
DeleteFile('C:\WINDOWS\system32\drivers\stglml.sys');
DeleteFile('C:\WINDOWS\system32\6B5.tmp');
DeleteFile('E:\setup.exe');
DeleteFile('C:\WINDOWS\Help\sysmon.chm:SxHV:$DATA');
DeleteFile('C:\Windows\Tasks\Microsoft_Hardware_Launch_setup_exe.job');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteService('MEMSWEEP2');
DeleteService('aic32p');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Последний раз редактировалось thyrex; 08.04.2010 в 10:34.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Все сделал. Вы получили карантин?
Новые логи прилагаю.
-
Зверье в карантин идти не захотело
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
жду 11 09. отпишусь, как наступит час икс)
Добавлено через 59 минут
сегодня все произошло в 10 09. тот же BSOD
Последний раз редактировалось Zonner; 08.04.2010 в 10:25.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Давайте проведем эксперимент. Отведите время назад и попробуйте проверить, изменилось ли что-либо после работы ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
А я уже проводил вчера... если вручную переводишь, то все норм.
это только завтра будет известно.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
ровно в 10:09 опять BSOD...
вот такой 0xC0000005 0xe917.... говорит о том, что у меня ошибки на hdd или вирусы или драйвера я какие то поставил... хотя все в порядке.
-
Сообщение от
Zonner
или драйвера я какие то поставил...
Есть подозрение, что Вы схватили новую разновидность TDSS. Но это только подозрение
Скачайте "OSAM" (Online Solutions Autorun Manager).
Лог работы OSAM прикрепите к своему сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
+ к thyrex выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}');
DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
DeleteFilemask('C:\Program Files\Ask.com','*.*',true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Не удалось таки победить. Может попробовать через консоль все системные файлы восстановить?
-
C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys проверьте на virustotal
Ссылку на результат проверки сообщите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
usbser.sys есть, его проверил, а usbser_lowerflt.sys такого файла нет.
ссылка http://www.virustotal.com/ru/analisi...220-1271051984
Добавлено через 9 минут
все повторилось в 10:09... странно, что время сдвинулось на всех 3х машинах на час назад.
Последний раз редактировалось Zonner; 12.04.2010 в 10:14.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 52
Коллеги говорят, что проблема не решаема, и все из-за Dr web Enterprise.
Добавлено через 1 минуту
но почему только избранные станции, вот в чем вопрос.
Добавлено через 6 минут
Данная проблема уже была и начинается она за 2-2.5мес до окончания лицензии оказывается. как ее победить, пока решения не найдено.
Добавлено через 6 минут
Вывод: что то срабатывает по расписанию. Единственное что срабатывает по расписанию это команда от сервера с drweb ES 444(серверная часть) на получение обновлений клиентским ПК. Провёл эксперимент - назначил на сервере расписание на 11-00. Синяя смерть ровно в 11-00 на этом компьютере.
В общем dr web фарэва
Последний раз редактировалось Zonner; 12.04.2010 в 10:51.
Причина: Добавлено
-
Обновление раз в сутки? Сильно.
ES 5.0 вышел год назад!
-