Работает примерно минут 10, потом в независимости от загруженного приложения уходит в ребут. На компе стоял антивирус trendmicro.
Логи прикрепил.
Printable View
Работает примерно минут 10, потом в независимости от загруженного приложения уходит в ребут. На компе стоял антивирус trendmicro.
Логи прикрепил.
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\KorginaLP\Local Settings\Temp\3\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\apcupsn.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{725FBEBD-B083-44C7-99D7-007F5ACC0CFE}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\ndzlib.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteFile('000005B5.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ndzlib.dll');
DeleteFile('C:\Documents and Settings\KorginaLP\Local Settings\Temp\3\svchost.exe');
BC_ImportAll;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR].
Повторите логи по правилам.
Почистите файл HOSTS от лишних записей.
Оставьте только это, если это ваше [CODE]127.0.0.1 localhost
10.2.241.76 appnonprod4.pds.ds.sibirtelecom.ru
10.2.242.227 ssl.oebs.ds.sibirtelecom.ru
10.2.240.3 ap1.oebs.ds.sibirtelecom.ru
10.2.245.68 sdo.app.ds.sibirtelecom.ru
[/CODE]
Карантин закачан, логи прикрепил.
Выполнить скрипт:
[CODE]begin
SetAVZPMStatus(True);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
Прислать весь комплект логов, сделав их заново.
Прикрепил логи.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wohasrpfcvmuvgv');
QuarantineFile('C:\WINDOWS\system32\drivers\mbscveicr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mbscveicr.sys');
DeleteFile('C:\WINDOWS\system32\urlmon.exe');
DeleteFile('C:\Documents and Settings\KorginaLP\Local Settings\Temp\3\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
логи и карантин закачаны.
C:\WINDOWS\system32\apcupsn.exe - пришлите согласно приложения 2 правил
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\apcupsn.exe)
Карантин с использованием прямого чтения - ошибка.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('MSIServerDcomLaunch');
DeleteFile('C:\WINDOWS\system32\apcupsn.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
что с проблемами ?
Сделайте лог [url]http://virusinfo.info/showthread.php?t=40120[/url]
Лог Выполнил, комп работает хорошо, спасибо большое!
На всякий случай лог прикрепил.
Не убегай. скорее всего, надо будет добить еще одного гада.
На вкладке "Files" скопируйте эти 2 файла по правой кнопке "Copy File" на Рабочий стол под именами 1 и 2.
C:\WINDOWS\Temp\xsvmjsfqnogefk.sys
C:\WINDOWS\system32\drivers\str.sys
После копирования удалите по правой кнопке "Wipe File" и перезагрузитесь.
Файлы 1 и 2 запакуйте с паролем "virus" и пришлите по красной ссылке вверху темы.
Повторите лог RootRepeal.
Да, точно недобили. Спустя час комп продолжил рестарты. Как будет доступ к компу - буду препарировать. Рано, блин, радовался.
Установите на Windows [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация) и последующие обновления.
[QUOTE=Гриша;626121]На вкладке "Files" скопируйте эти 2 файла по правой кнопке "Copy File" на Рабочий стол под именами 1 и 2.
C:\WINDOWS\Temp\xsvmjsfqnogefk.sys
C:\WINDOWS\system32\drivers\str.sys
После копирования удалите по правой кнопке "Wipe File" и перезагрузитесь.
Файлы 1 и 2 запакуйте с паролем "virus" и пришлите по красной ссылке вверху темы.
Повторите лог RootRepeal.[/QUOTE]
Все сделал.
[QUOTE=AndreyKa;627143]Установите на Windows [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация) и последующие обновления.[/QUOTE]
Установил.
C:\WINDOWS\Temp\xsvmjsfqnogefk.sys -
[B]Rootkit.Win32.Agent.bdli[/B] вот так назывался Ваш зверь, причем Аваст, Касперский, Доктор его знают.
Самое противное, что он еще не удален.
окей, сейчас запущу на скан свежий куреит.
Не берет его куреит. Попробую в сэйф моде.
Закройте пожалуйста тему.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\korginalp\local settings\temp\3\svchost.exe - [B]Trojan-Clicker.Win32.Liah.p[/B] ( DrWEB: Trojan.Click.25980, BitDefender: Trojan.Generic.1863120, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\urlmon.exe - [B]Backdoor.Win32.Small.um[/B] ( DrWEB: BackDoor.Siggen.1398, BitDefender: DeepScan:Generic.Malware.SFYBdld.F4C37C6C, AVAST4: Win32:Trojan-gen )[*] \1 - [B]Rootkit.Win32.Agent.bdli[/B] ( DrWEB: Trojan.NtRootKit.6190, BitDefender: Rootkit.33987, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]