Вирусы, AVZ виснет О_о

Printable View

11.09.2007, 14:55
Clocker125

Вирусы, AVZ виснет О_о

НЕ могу двинуться дальше 8 пункта правил так как AVZ виснет и появляется синий экран со счетчиком Dumping physical memory to disk который доходит до 100 и перезагружается. Извиняюсь что не по форме пост.

Вот история...
Как-то залез был на сайт один и сразу Avast начал отбивать попытки проникновения вирусов, полный скан ничего не дал, при перезагрузке они все равно вылазили, с Nod32 тоже самое , только он нашел много вирусов вроде бы удалил их ( но после опять проводил глубокий скан и были вирусы опять, cureit тоже нашел много включая разные backdoor ), а при перезагрузке каждый раз все равно вылазят вот эти три Wigon.Z , Rootkit.Agent.DW и DP , базы в обоих случаях самые последние. Найдя этот сайт скачал все инструменты но застрял на 8 пункте из-за причины описанной выше. =(
11.09.2007, 15:18
Rene-gad

[QUOTE=Clocker125;133398]НЕ могу двинуться дальше 8 пункта правил так как AVZ виснет[/QUOTE]
Выключите все резидентные программы - файрвол, антивирус и т.д. Если не поможет - попробуйте выполнить АВЗ-Логи в безопасном режиме: [url]http://virusinfo.info/showthread.php?t=9279[/url]
Проверку Др.Веб делали?
11.09.2007, 20:21
Clocker125

Вложений: 3

Dr.Web CureIt проверку делал , он удалил кучу вирусов , но при перезагрузке те три появляются снова.

AVZ заработал нормально в безопасном режиме, но проблема все равно осталась, я сделал все по инструкции, вот логи...
11.09.2007, 22:03
Зайцев Олег

[quote=Clocker125;133512]Dr.Web CureIt проверку делал , он удалил кучу вирусов , но при перезагрузке те три появляются снова.

AVZ заработал нормально в безопасном режиме, но проблема все равно осталась, я сделал все по инструкции, вот логи...[/quote]

Следует выполнить скрипт AVZ (Файл/Выполнить скрипт):

[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.
[/code]
Скрипт следует попробовать выполнить сначала из защищенного режима, затем из номального. В ходе выполнения скрипта ПК будет перезагружаться. После этого повторите логи
12.09.2007, 19:41
Clocker125

Вложений: 3

Вроде вылечился, вот логи...
12.09.2007, 20:00
V_Bond

пофиксите ....
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\admin\LOCALS~1\Temp\winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [MStask] C:\WINDOWS\svchost.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing)
[/code]
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
13.09.2007, 16:52
Clocker125

Я не совсем понял карантин прислать последний или за три дня весь, выслал три архива все...только пароль поставить не получилось, нажимаю поставить пароль, пишу пароль - ок, а пароля все равно нет. =(
Еще вопрос наверно немного не по теме - вирусы отключили мне диспетчер задач, и теперь при нажатии комбинации клавиш выскакивает - '' диспетчер задач отключен администратором'' , как его включить снова?
13.09.2007, 16:59
V_Bond

карантин присылайте весь...
для разблокировки диспетчера задач...
выполните скрипт...
[code]
begin
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(11);
RebootWindows(true);
end.
[/code]
13.09.2007, 18:52
Clocker125

Диспетчер задач заработал, спасибо. =)
Карантин я вроде выслал весь , только вот не знаю выслался ли файл 12 числа, он размером 23 метра ( туда попали и файлы из игр с расширением bak и еще много чего) , он долго грузился, и после на экране было не стандартное - файл загружен, а просто опять чистая панель загрузки файла ...
13.09.2007, 20:04
V_Bond

C:\WINDOWS\system32\ieudinit.exe - пришлите по правилам ...
14.09.2007, 20:16
Clocker125

...Прислал...
14.09.2007, 20:35
V_Bond

C:\WINDOWS\system32\ieudinit.exe -судя по вирустотал чист..
повторите логи...
17.09.2007, 16:32
Clocker125

Вложений: 3

Опять AVZ какие-то перехваты делает, еще панель задач глючит по-страшному, все окна дублируются через разделительную полосу, а этих полос разделяющих на панели задач откуда то взялось немеряно и непонятно как их отключить, не подскажите?
17.09.2007, 16:54
V_Bond

пофиксите
[code]
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
[/code]
выполните скрипт ...
[code]
begin
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите крантин согласно приложения 3 правил...
насчет двоения ...если я все правильно понял ...
-отменить закрепление панели задач
-закройте все языковые панели
-закрепите панель задач ....

[I]D:\Windows\SysWOW64\[/I] что это знаете ? ?
[I]BitAccelerator [/I]вам нужен ? адваре чистейшее ...
17.09.2007, 18:29
Clocker125

D:\Windows\SysWOW64\ без понятия, я думал каталог Висты ( работаю в ХР, Висту не знаю как свинта удалить, при удалении пишет - не доступа) какой-то...
BitAccelerator путь будет, наверно, если он не вредит ничем...
Двоение пропало, спасибо.
Карантин, выслал...Опять один архив 2007-09-17 весит 24 метра, не знаю отправился он или нет.
19.09.2007, 15:54
Clocker125

сори, напоминаю о себе)
19.09.2007, 15:56
V_Bond

еще раз :)
BitAccelerator вам нужен ? адваре чистейшее ...
какие проблемы остались ...?
повторите логи ... (времени прошло много ) ...
26.09.2007, 18:03
Clocker125

Вложений: 3

Проблем вроде нет, вот логи...
26.09.2007, 19:38
V_Bond

выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('system32\DRIVERS\atksgt.sys','');
QuarantineFile('system32\DRIVERS\lirsgt.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
05.10.2007, 20:19
Clocker125

Выполнил, отослал карантин...
05.10.2007, 20:45
V_Bond

atksgt.sys -чистый
lirsgt.sys -чистый ....
больше ничего вредоносного не вижу ...
10.10.2007, 17:08
Clocker125

Тоесть я чист?
Спасибо огромное!
10.10.2007, 17:11
V_Bond

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
22.02.2009, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\temp\\startdrv.exe - [B]Trojan-Downloader.Win32.Agent.cyx[/B] (DrWEB: BackDoor.Bulknet.63)[/LIST][/LIST]