Точно такая-же проблема подымалась здесь: [URL]http://forum.ixbt.com/topic.cgi?id=22:72480[/URL]
тобишь при обычной загрузке ХР вылетает в синий экран.
посмотрите, пожалуйста.
Printable View
Точно такая-же проблема подымалась здесь: [URL]http://forum.ixbt.com/topic.cgi?id=22:72480[/URL]
тобишь при обычной загрузке ХР вылетает в синий экран.
посмотрите, пожалуйста.
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ati2mtag.sys','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\iyvu9_32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
DeleteService('ws2_32sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('acpi32');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]
Готовьте новые логи.
Карантин выслал.
Пофиксить не могу, ибо такой строки [COLOR=Navy][B][I][URL="http://www.tomcoyote.org/hjt/"]HijackThis[/URL] не предлагает :(
[/I][/B][/COLOR]
Новые логи
[B]Выполните скрипт в AVZ [/B](AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('port135sik');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('port135sik');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Повторите лог virusinfo_syscheck.zip.
выкладываю.
еще осталась проблема с ресолвом.
nslookup определяет только ya.ru :(
а браузере вообще ни одну страницу открыть невозможно.
Проблема с синим экраном исчезла. Спасибо.
Выполните:
[CODE]begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.[/CODE]
Что за браузер?
Internet Explorer 6
Обновите до [URL="http://www.microsoft.com/rus/windows/internet-explorer/"]версии 8[/URL].
уже обновляю. хотя сомневаюсь что дело именно в браузере.
вот как странно ведет себя nslookup
[CODE]
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\Documents and Settings\Sergey>nslookup ya.ru
Server: gate.mshome.net
Address: 192.168.0.1
*** gate.mshome.net can't find ya.ru: Query refused
C:\Documents and Settings\Sergey>nslookup ya.ru
Server: gate.mshome.net
Address: 192.168.0.1
Non-authoritative answer:
Name: ya.ru
Addresses: 77.88.21.8, 93.158.134.8, 213.180.204.8[/CODE]
период между первым и вторым запросом - 2 секунды.
некоторые сайты вообще не разрешает.
[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]
все. проблема решена.
всем спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.aaow[/B] ( AVAST4: Win32:Zbot-LZL [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]