Постоянно запускается CHKDSK перед загрузкой WinXP

Printable View

04.02.2011, 18:52
ragalt

Постоянно запускается CHKDSK перед загрузкой WinXP

Есть подозрения, логи в аттаче.
05.02.2011, 02:51
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SetAVZGuardStatus(True);
WhatService('sxijdztgr');
QuarantineFile('G:\autorun.inf','');
BC_ImportAll;
BC_Activate;
SaveLog(GetAVZDirectory+'sxijdztgr.log');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=97315[/url]).
Прикрепите файл [I]sxijdztgr.log[/I] из папки с AVZ.
06.02.2011, 09:35
ragalt

Карантин пустой.
лог:
[QUOTE]Description: Supports local and remote debugging for Visual Studio and script debuggers. If this service is stopped, the debuggers will not function properly.
DisplayName: Boot System
ImagePath: %SystemRoot%\system32\svchost.exe -k netsvcs
ServiceDll: C:\WINDOWS\system32\yshmp.dll
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\yshmp.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\yshmp.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (G:\autorun.inf)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (G:\autorun.inf)
Карантин с использованием прямого чтения - ошибка
[/QUOTE]
06.02.2011, 14:37
Bratez

Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\yshmp.dll');
DeleteFile('G:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('sxijdztgr');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
06.02.2011, 16:57
ragalt

Скрипт выполнил. Файлы ('C:\WINDOWS\System32\yshmp.dll') и ('G:\autorun.inf') в системе отсутствуют.
Постоянные запуски проверки chkdsk прошли после выполнения в консоли команды chkntfs /x C: D:
Гоняю сегодняшним CureIt'ом. Всё чисто
06.02.2011, 17:04
Bratez

В логе чисто.
06.02.2011, 17:08
ragalt

Спасибо! Проблема решена. Странно что в базе чистых файлов не оказалось [QUOTE]C:\WINDOWS\system32\DRIVERS\ehdrv.sys
(Подозрение на RootKit Перехватчик KernelMode)[/QUOTE]
06.02.2011, 20:59
regist

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.[quote]Спасибо! Проблема решена. Странно что в базе чистых файлов не оказалось[/quote]
- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519]тут[/url] для пополнения базы.

- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.