ловил вредителей, запортачил систему.

добрый вечер, у меня следующая проблема.

в домашней сети есть PC с windows xp pro *86 sp2. неделю назад я удалил появившийся %windir%/system32/[B]logon.exe[/B], так как AntiVir обнаружил в нём что-то, что он называл червяком '[B]WORM/Autorun.fxb[/B]'. в дальнейшем система при старте во время входа пользователя как-бы невзначай единожды жаловалась, что не может обнаружить этот файл, но работала.

сегодня AntiVir начал обращать моё внимание на %windir%/system32\drivers\[B]synsenddrv.sys[/B] считая это за '[B]RKIT/Small.BK[/B]'

AntiVir не мог убрать synsenddrv.sys, по крайней мере на большее время, чем пять минут. я стал луркать и нашёл ваш сайт, скачал AVZ, отключил AntiVir, запустил AVZ, обновил базы и запустил сканирование выбрав и лечение. что-то вроде попало в сети, но я в этом не разбираюсь, что-то вылечилось.

далее в AVZ я выполнил первый стандартный скрипт "поиск и нейтрализация руткитов в пользовательском режиме и в режиме ядра"

так же сегодня я подключился к службе windows update и так установил третий servicepack. точную хронологию между установкой SP3 и работой с AVZ я сейчас не могу установить.

возможно что-либо профиксилось не так, возможно мои кривые руки и любопытство поломали систему.

в итоге:

* после старта машины и входа пользователя из welcome-экрана в систему практически сразу вылетает BSOD. иногда мгновенно, реже можно увидеть рабочий стол и раскрыть некоторые папки на нём.
* безопасный режим не работает. система вылетает ещё за долго до экрана приветствия.
* "Последняя удачная конфигурация" конечно работает, в ней я запустил упомянутые в правилах скрипты AVZ и скан HiJackThis. я думаю, что по этой причине "[B]Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"[/B] не даст лечения. но я всё же сделал все тесты, которые запрашивают правила.


заранее спасибо.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('0000089F.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('c:\windows\system32\wintab32.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('0000089F.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

скрипт выполнил, лог после перезагрузки сделал.

как избежать bsod ?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
SetServiceStart('synsend', 4);
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

я думаю, что если использовать каждый раз "Последняя удачная конфигурация" от этого толку не будет, или:?

давайте пробоавать так ....
откройте ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\Select
чему равен LastKnownGood ? пусть например 2 ....
тогда откройте HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services и удаляете все что касается synsenddrv ... затем выполняете скрипт (антивирус лучше деинсталировать) , последующая загрузка последней удачной конфигурации не должна восстановить зловреда

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]