Здравствуйте, предыстория...
К компу меня пригласили когда там уже "поработал" тамошний админ.
На машине (WinXP SP3) стоит NOD2.7, система без свежих критических обновлений. Нод регулярно обновляется. После подозрения, что с машиной "что-то не так" админ решил просканить CureItом - тот не захотел запускаться. Тогда он установил AVPTool. Тот что-то нашел и прибил. После перезагрузки - синий экран.
Далее с чем столкнулся непосредственно я сам.
Комп в обычном режиме и в безопасном стопорится на BSODe 0x0000008E.
Запустился с LiveCD - проверился CureIt. Нашел вирусы и удалил. Я правда не запомнил какие. Далее покопался в реестре на предмет разрешения рагрузки в безопасном режиме. В соответствующей ветке реестра все было вроде в порядке. Значение в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\CrashControl\ CrashDumpEnabled стояло в 0x3 - малый дамп памяти. Взял файлик дампа и исследовал на другой машине - ругался он на некий AtapiDrv.sys. Сдал его на проверку в virustotal - некоторые антивиры узрели в нем руткит. Я удалил файл и и произвел перезагрузку. Опять BSOD. Думал теперь в чем-то другом затык и пошел в папку minidamp за свежим дампом. Но его там, увы, не оказалось.
В результате имеем машину с перманентным бсодом в момент загрузки и невозможностью увидеть дамп. Что подскажут умельцы, эксперты?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После таких приключений, разумнее всего, переустановить Windows, так как написано тут: http://support.microsoft.com/kb/315341/ru
см. Способ 2. Восстановление Windows XP при загрузке компьютера с компакт-диска Windows XP
Есть детали. Удалось запуститься в безопасном режиме предварительно вычистив
ветки.
HKLM\SYSTEM\CurrentControlSet\Services\AtapiDrv.sy s и
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ata piDrv.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Min imal\AtapiDrv.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Net work\AtapiDrv.sys
Прилагаю логи. Особенно интересует анализ лога GMER на предмет действий с файликом beep.sys
После удаления файла AtapiDrv.sys и перегрузки, опять система вываливается в BSOD. Загружаюсь c LiveCD - опять удаляю вышеуказанные ветки и безопасный режим доступен.
Компьютер перезагрузится.
Попробуйте загрузиться в нормальном режиме.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Файл C:\WINDOWS\system32\Drivers\Beep.sys замените на чистый с другого компьютера или из дистрибутива WINDOWS.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Сегодня опять запустил AVZ c обновленными базами.
AVZ ругнулся на 'C:\WINDOWS\explorer.exe:userini.exe:$DATA', а также
на "C:\WINDOWS\system32\drivers\AtapiDrv.sys",
но уже смог с ними бороться самостоятельно (в пятницу только детектировал).
З.Ы. Откуда-то эта гадость лезет - или по сетке или с инета... надо будет поставить заплатки на систему и прошерстить оставшиесь компы в сетке.
Последний раз редактировалось pig; 21.04.2010 в 04:59.
Причина: карантин в теме неуместен
Не видно ничего подозрительного. Проблема решена?
Очистите карантин AVZ.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
Архив 100425_160446_virusinfo_files_HERSON_4bd42fdeb0a9a .zip, загружен 25.04.2010 16:10:26, размер 24150286 байт
Всего файлов: 49 (исполняемых 47), из них:
зловреды или опасные объекты: 1
подозрительные: 0
занесены в базу безопасных AVZ: 8
В очереди на добавление в базу безопасных:
высокий приоритет: 38
обычный приоритет: 2
Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\Windows\system\ADMDLL.dll: not-a-virus:RemoteAdmin.Win32.RAdmin.20
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: