В прошлый раз не получилось выложить т.к. 47 Кб занимал, выкладываю в rare
Printable View
В прошлый раз не получилось выложить т.к. 47 Кб занимал, выкладываю в rare
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('tdicf');
StopService('Nh');
QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил.
Максим!
Не знаю, насколько это важно, но
AVZ говорит, что ДрВеб там ещё есть. Возможно он и вызвал синий экран:
C:\PROGRA~1\DrWeb\[b]spidernt.exe[/b]
Autoruns даёт:
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
+ DrWebSP.4 Dr.Web Winsock Provider Hook Doctor Web, Ltd. c:\windows\system32\[b]drwebsp.dll[/b]
Paul
Карантин загрузил
Да, Dr. Web тоже может мешать. Лучше его полностью удалить. Подробнее [URL="http://wiki.drweb.com/index.php/%D0%9E%D1%87%D0%B8%D1%81%D1%82%D0%BA%D0%B0_%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D1%8B_%D0%BE%D1%82_%D0%BD%D0%B5%D0%BA%D0%BE%D1%80%D1%80%D0%B5%D0%BA%D1%82%D0%BD%D0%BE_%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE_Dr.Web%C2%AE"]здесь[/URL].
[quote=Maxim;172484]Да, Dr. Web тоже может мешать. Лучше его полностью удалить. Подробнее [URL="http://wiki.drweb.com/index.php/%D0%9E%D1%87%D0%B8%D1%81%D1%82%D0%BA%D0%B0_%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D1%8B_%D0%BE%D1%82_%D0%BD%D0%B5%D0%BA%D0%BE%D1%80%D1%80%D0%B5%D0%BA%D1%82%D0%BD%D0%BE_%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE_Dr.Web%C2%AE"]здесь[/URL].[/quote]
И ещё из Autoruns:
+ klogon Logon Visualizer [b]Kaspersky Lab[/b] c:\windows\system32\[b]klogon.dll[/b]
Paul
[B]ARmY[/B], какйо антвирус у Вас сейчас активен?
Никакого, все удалены. Видимо остались остатки от удаленных ранее антивирусов
[QUOTE=p2u;172473]AVZ говорит, что ДрВеб там ещё есть. Возможно он и вызвал синий экран:
C:\PROGRA~1\DrWeb\[b]spidernt.exe[/b][/QUOTE]
Этот синих экранов не даёт. Надо искать [B]spider.sys[/B] в той же папке.
[QUOTE=p2u;172473]Autoruns даёт:
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
+ DrWebSP.4 Dr.Web Winsock Provider Hook Doctor Web, Ltd. c:\windows\system32\[b]drwebsp.dll[/b][/QUOTE]
А вот это потенциальные проблемы с сетью, надо будет убить с последующей починкой цепочки.
Какая версия Касперского стояла?
[quote=pig;172490]Этот синих экранов не даёт. Надо искать [B]spider.sys[/B] в той же папке.
А вот это потенциальные проблемы с сетью, надо будет убить с последующей починкой цепочки.[/quote]
Каким образом убить? Просто удалить?
[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]
Не помню какая версия каспера была, давно дело было
[quote=Maxim;172491]Какая версия Касперского стояла?[/quote]
5 Personal. Для удаление сюда:
[url]http://support.kaspersky.ru/faq/?qid=180593241[/url]
Paul
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=pig;172490]Этот синих экранов не даёт. Надо искать [B]spider.sys[/B] в той же папке.[/quote]
Стоит. AVZ даёт:
[quote]SPIDER
Драйвер: SpIDer Guard File System Monitor
C:\PROGRA~1\DrWeb\spider.sys FSFilter Anti-Virus[/quote]
Paul
Остатки каспера и Двеба удалил
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
Синий экран перестал появляться уже после удаления НОДа. Но не решили основную проблему: необходимо избавиться от вируса. Оба раза когда я делал проверку AVZ он находил троян в C:\Documents and Settings\sanek\nax.exe . Причем каждый раз он его удалял. Сейчас я проверил, но файл этот на месте. Я его удалил вручную, но что-то мне подсказывает, что при перезагрузке он появится снова. Как избавиться от него?
[quote=ARmY;172498] C:\Documents and Settings\sanek\nax.exe .
Как избавиться от него?[/quote]
Повторите логи, пожалуйста - он, скорее всего, не один. Вам напишут скрипт.
Paul
А предыдущие логи не подойдут чтоли? Просто, чтоб получить опять логи, необходимо два часа сканировать комп :(
[quote=ARmY;172510]А предыдущие логи не подойдут чтоли? Просто, чтоб получить опять логи, необходимо два часа сканировать комп :([/quote]
Каждый раз ситуация меняется (C:\Documents and Settings\sanek\nax.exe не был в первых журналах). Можно только сделать правильные выводы если посмотреть результаты предыдущих мер в контексте.
Paul
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]