BSOD 1000000a

Printable View

08.12.2008, 17:53
tralala

BSOD 1000000a

Приветствую!Вылетал bsod .Подчистил CureIt!-прошло ,но зараза явно осталась,жаль Dr.Web не все видит(Слетают свойства папки , при втыкании влешки создается авторан и экзешник)
08.12.2008, 18:04
Bratez

Вставьте флэшку, удерживая при этом клавишу [B]Shift[/B].
Оставьте ее подключенной до конца лечения.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Windp47.sys','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Windp47.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Windp47');
BC_DeleteSvc('wscsvcVSS');
BC_DeleteSvc('stisvcDhcpATKKeyboardServiceSharedAccessImapiService');
BC_DeleteSvc('stisvcDhcp');
BC_DeleteSvc('ProtectedStorageMessenger');
BC_DeleteSvc('Nlaekrn');
BC_DeleteSvc('NetDDEdsdmTermService');
BC_DeleteSvc('MSIServerNtLmSsp');
BC_DeleteSvc('ImapiServiceWebClient');
BC_DeleteSvc('EhttpSrvHTTPFilterWZCSVC');
BC_DeleteSvc('EhttpSrvHTTPFilter');
BC_DeleteSvc('DnscacheCOMSysApp');
BC_DeleteSvc('ATKKeyboardServiceSharedAccessImapiService');
BC_DeleteSvc('ATKKeyboardServiceSharedAccess');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=35333[/url]).

Обновите базы AVZ!
Сделайте новые логи.
08.12.2008, 18:22
tralala

Файл сохранён как 081208_092108_virus_493d3b64bffa4.zip
Размер файла 417391
MD5 3fee20f9687af63c152b5a223897986b
В карантин попал только csrcs.exe
08.12.2008, 18:25
tralala

И еще на обоих дисках создался нивидимый файл khr без расширения .
08.12.2008, 20:18
Гриша

В логах чисто, удалите этот файл, перезагрузитесь и сообщите появился ли он...
09.12.2008, 02:32
Bratez

Логи с подключенной флэшкой делали?
09.12.2008, 10:18
tralala

Да , но пока ждал ответа ,грохнул авторан и экзешник с флешки и следующие файлы:C:\Windows\lsass.exe ;C:\Windows\system32\ctfm.exe и файлы больше не создавались .

[SIZE=1][COLOR=#666686][B][I]Добавлено через 30 секунд[/I][/B][/COLOR][/SIZE]

Спасибо за помошь!
22.02.2009, 09:16
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\csrcs.exe - [B]Trojan.Win32.Autoit.fn[/B] (DrWEB: Win32.HLLW.Autoruner.4668)[/LIST][/LIST]