help

Printable View

09.12.2009, 18:25
wolf-wolf

help

проблема вот в этом :
Модуль сканирования файлов, исполняемых при запуске системы загрузочный сектор Активный загрузочный сектор физического диска 1 вероятно неизвестный TSR.BOOT вирус очистка невозможна F-515AA70B010B4\admin

вот лог

[code]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:49, on 09.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\EXPERTool\TBPANEL.exe
C:\Program Files\Ideazon\ZEngine\Zboard.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
D:\QIP\qip.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera\opera.exe
C:\Documents and Settings\clon\Рабочий стол\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E84013E-838F-420B-929C-1FEF6FC3A1BF}: NameServer = 217.144.104.10,217.144.105.10
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 2634 bytes[/code]
09.12.2009, 18:35
Bratez

Варианты:
1. [URL="http://www.freedrweb.com/livecd/"]DrWeb LiveCD[/URL].
2. Консоль восстановления, выполнить команды [B]fixmbr[/B] и [B]fixboot[/B].
09.12.2009, 18:43
wolf-wolf

не помогает
09.12.2009, 19:34
snifer67

Скачайте [url]http://www2.gmer.net/mbr/mbr.exe[/url] , запустите сканирование, после сканирования выложите лог mbr.log.
09.12.2009, 20:52
wolf-wolf

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, [url]http://www.gmer.net[/url]

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[code]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:04:40, on 09.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Opera\opera.exe
C:\Documents and Settings\clon\Рабочий стол\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.yandex.ru/?clid=40316[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E84013E-838F-420B-929C-1FEF6FC3A1BF}: NameServer = 217.144.104.10,217.144.105.10
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 2628 bytes[/code]

AVZ

spsh.sys;4;Перехватчик KernelMode

[size="1"][color="#666686"][B][I]Добавлено через 42 минуты[/I][/B][/color][/size]

После запуска avz и всего проделанного и соответственно перезагрузки ,просканировал своим нодом и он теперь не находит того вируса TSR.BOOT..
Как перепроверить и убедится что точно .....?
спасибо .
09.12.2009, 20:55
snifer67

Выложите логи avz.
09.12.2009, 21:49
wolf-wolf

лог

вот этот наверно

но так же в логе есть папка cure тоже и папка virusinfo_syscheck
11.12.2009, 18:01
snifer67

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url]
11.12.2009, 19:21
wolf-wolf

сейчас попробую

[size="1"][color="#666686"][B][I]Добавлено через 1 час 13 минут[/I][/B][/color][/size]

процес как то затянулся всё не как не закончит . Как долго выполняется процесс сканирования?
11.12.2009, 20:21
wolf-wolf

Вот лог

вот лог
11.12.2009, 21:30
snifer67

Чисто
11.12.2009, 22:54
wolf-wolf

тоесть нет не чего ??
12.12.2009, 00:28
pig

В логах враждебных проявлений не заметно. А вам?