Синий экран

**Luka_** · 26.12.2007, 13:13

Ситуация схожая с этой темой на форуме
http://virusinfo.info/showthread.php?t=13494

Логи прикрепляю

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 26.12.2007, 13:39

Пофиксите в HijackThis:

Код:

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\vmware-ufad.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Lry53.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Cmnd58.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Cmnd58.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Lry53.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\idaw64.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

**Luka_** · 26.12.2007, 14:24

Высылаю логи...

**Bratez** · 26.12.2007, 14:30

Карантина вашего нет.

В логах ничего подозрительного не видно...
А почему они в безопасном режиме? В обычном не получается?

Два антивируса - это плохо, надо один убрать.

**Luka_** · 26.12.2007, 14:35

В безопасном режиме делалось, потому что в обычном режиме даже запуск Dr.Web - CureIT комп уходит в перезагрузку..
Сейчас проверю еще раз запустить..
Два антивира стоит, не знаю почему. До меня видать пытались както полечить эту ситуацию. Каспер оставлю, он корпоративный, а НОД удалю.
Спс за помощь..

З.Ы. Все нормально, спасибо ребят !

**Bratez** · 26.12.2007, 15:24

Карантин все таки пришлите, нужен для анализа.

**Luka_** · 26.12.2007, 16:03

Сообщение от Bratez

Карантин все таки пришлите, нужен для анализа.

Пришлю попозже, уехал из офиса.

**Luka_** · 27.12.2007, 16:12

Сорри за задержку. Скидываю логи:

**Bratez** · 27.12.2007, 16:32

А где вчерашний карантин - пришлите, загружать тут:
http://virusinfo.info/upload_virus.php?tid=15683

Потом выполните такой скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe','');
 DeleteFile('C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Если вдруг карантин будет не пустой - пришлите по правилам.

Посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

**PavelA** · 27.12.2007, 16:36

Профиксить:

Код:

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe

**Luka_** · 27.12.2007, 16:47

Два файла с каратнином отправил.

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\shil03\LOCALS~1\Temp\winlogon.exe
не удалось пофиксить, отсутствует запись
прикрепляю лог

**rubin** · 27.12.2007, 16:54

Проблема решена?

**Luka_** · 27.12.2007, 17:06

Сообщение от rubin

Проблема решена?

после скрипта в карантин попало два файла, карантин выслал. Пока жду ответа

to Bratez
пока все оставим... я еще не в курсе что надо , а что нет (недавно работаю)

**Bratez** · 27.12.2007, 17:11

В первом карантине ничего интересного, второй пустой.
Больше ничего подозрительного у вас нет.

**PavelA** · 27.12.2007, 17:11

Карантин пустой, делаем контрольные логи,как в первом сообщении. После них будем выписывать из больницы

Синий экран (заявка № 15683)

Опции темы