Через несколько секуд после приглашения нажать контральтдел комп перезагружается.
Printable View
Через несколько секуд после приглашения нажать контральтдел комп перезагружается.
@yu_mor
Быстренько Вы забыли, как логи делаются :) Напоминаю: [url]http://virusinfo.info/showpost.php?p=95587&postcount=1[/url]
Сорри, про эксплорер забыл...
[QUOTE=Rene-gad;115539]@yu_mor
Быстренько Вы забыли, как логи делаются :) Напоминаю: [url]http://virusinfo.info/showpost.php?p=95587&postcount=1[/url][/QUOTE]
вот!
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\235847218.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\44A.tmp','');
BC_DeleteSvc('ip6fw');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\44A.tmp');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Попробуйте в нормальный режим.
Карантин пришлите согласно приложению 3 правил.
выполнил, отправил.
не помогло.
кстати, файла 235847218.exe я в карантине не нашёл
Еще один скриптик.
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\_v\startdrv.exe','');
QuarantineFile('C:\_v\ksys.sys','');
QuarantineFile('C:\_v\iebzgbz.dll' ,'' );
ExecuteRepair(10);
end.[/CODE]
Карантин, если попадет что-то новое прислать.
[quote=PavelA;115558]
QuarantineFile('C:\_v\startdrv.exe','');
QuarantineFile('C:\_v\ksys.sys','');
QuarantineFile('C:\_v\iebzgbz.dll' ,'' );
[/quote]
это я их туда положил во время самостоятельной чистки.
всё равно выполнить?
на C: лежат:
438.tmp 43B.tmp 43C.tmp 448.tmp 449.tmp 44B.tmp 44C.tmp с сегодняшней датой
Тогда хотя бы выполнить скрипт №10 в восстановлении системы.
С расширением tmp файлы создаются при каждой загрузке. Кто-то старается.
К сожалению в безопасном режиме стандартные логи малоинформативны.
Получить больше информации можно так:
в AVZ - Файл - Стандартные скрипты - отметить #1 - Выполнить,
затем Файл - Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск, сохраните протокол и приложите в виде архива зип или рар.
скрипт №10 в восстановлении системы не помог.
Стандартный скрипт #1 :
[CODE]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
[/CODE]
прикрепляю sysinfo
Ага, вот они все и попались! Там целый выводок ;)
Скачайте свежую версию AVZ - 4.25 (у вас 4.24).
Выполните скрипт:
[code]
begin
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys');
BC_DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пробуйте снова нормальный режим.
Если пойдет - сделайте новые логи в нормальном.
[QUOTE=Bratez;115571]
Ip6Fw.sys
ksys.sys
runtime2.sys
[/QUOTE]
до выполнения:
1 я нашёл был только в dllcache
2 и 3 кажется я удалял до обращения сюда.
выполнил скрипт
[QUOTE]
Если пойдет - сделайте новые логи в нормальном.[/QUOTE]
к сожалению, не пошло...
кстати, мои симптомы очень похожи на [URL="http://virusinfo.info/showthread.php?t=10330"]эту тему[/URL]
[QUOTE]2 и 3 кажется я удалял до обращения сюда.[/QUOTE]
Может и удаляли, но в реестре записаны эти драйверы и при попытке их запустить могли быть подобные коллизии.
Ну раз все это не помогло, тогда последний совет -
[B]деинсталлируйте NOD32[/B].
[QUOTE=Bratez;115580]Может и удаляли, но в реестре записаны эти драйверы и при попытке их запустить могли быть подобные коллизии.
[/QUOTE]
попробую тогда их восстановить.
но перегрузы появились до их удаления
[QUOTE]
[B]деинсталлируйте NOD32[/B].[/QUOTE]
это скорее напутствие, чем совет...
[QUOTE]попробую тогда их восстановить.[/QUOTE]
Ни в коем случае! Это ж зловреды!
[B]Деинсталлируйте NOD32. [/B]
Я не шучу, попробуйте прямо сейчас!
снёс НОД, с горя загрузился с "последней удачной конфигурации"
вот стандартные логи.
[QUOTE]загрузился с "последней удачной конфигурации"[/QUOTE]
А просто в обычном режиме так и не пошел? Ну что ж, хоть так.
В логах в принципе чисто. Как выяснилось, там еще драйвер klif от ранее снесенного Касперского болтается (мог кстати с НОДом конфликтовать) и ключ от НОДовского сервиса в реестре остался. Давайте их удалим:
[code]
begin
BC_DeleteSvc('klif');
BC_DeleteSvc('NOD32krn');
BC_DeleteFile('C:\WINDOWS\System32\drivers\klif.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки прикрепите к сообщению файл [B]boot_clr.log [/B]из папки с AVZ.
Да, чуть не забыл, еще вот этот, хоть он и не нашелся:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\235847218.exe');
BC_ImportDeletedList;
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.[/code]
После этого можете ставить НОД обратно, я думаю, все будет ОК.
И сделайте для контроля еще раз логи п.10-13 правил.
ух-ты, это получается, я ПОЧТИ сам всё подчистил :-)
Спасибо!
Логи не прикладываю. То, что удаляли, удалилось, и нового ничего не прибавилось.