Здравствуйте,
сегодня пришлось ставить систему на соседний раздел (WinXP, E: ), т.к. при выполнении скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" на рабочей ОС (WINXP, С: ) компьютер уходит в перезагрузку. На новой системе скрипт обнаруживает подмену имени... spidernt.exe и еще парочки.
DRWEB ничего подозрительного не находит.
Прикрепленные логи - новая система с раздела E:
Очень хотелось бы как-нибудь победить заразу на основной системе.
Заранее огромное спасибо.
Последний раз редактировалось asdas911; 16.07.2007 в 14:25.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я не переустанавливал, а просто установил новую систему на соседний раздел. А проблема с подменой имен осталась и в новой ос. Просто очень хочется не переустанавливать рабочую систему.
Только что попробовал запустить скрипт на (Win, С в безопасном режиме. скрипт отрабатывает практически до конца. уже появляется сообщение о создании отчета, еще пара строк ... BSOD на долю секунды и перезагрузка.
При проверке диска chkdsk находит одну ошибку в файле AVZ*.tmp, в логах программы ничего нет
Я не переустанавливал, а просто установил новую систему на соседний раздел.
Так ничего не получится. Необходимо чтобы AVZ работал с реестром и системными путями именно той системы в которой есть поблемы.
Сообщение от asdas911
А проблема с подменой имен осталась и в новой ос.
Нет никакой проблемы. Все нормально.
Сureit надо запускать только тем, у кого антивирус НЕ DrWeb.
Чтобы сдвинутся с мервой точки попробуем так:
Выполните из рабочей ОС (WINXP, С: ) в безопасном режиме то, что написано тут, но архив загрузите не как там написано, а по ссылке: http://virusinfo.info/upload_virus.php?tid=11079
не знаю, поможет ли это сдвинутся с мертвой точки, но...
в безопасном режиме доходит до:
"Выполняется автокарантин"
c:\.... успешно добавлен в карантин
с:\....\winlogon.exe успешно добавлен в карантин
и BSOD, перезагрузка.
в нормальном режиме - тоже самое, только перед winlogon.exe больше файлов. :-(
В системных событиях после очередной перезагрузки только запись экрана смерти, больше ничего интересного:
Компьютер был перезагружен после критической ошибки: 0x1000008e (0xc0000005, 0xf741d640, 0xf5838b80, 0x00000000). Копия памяти сохранена: C:\WINDOWS\Minidump\Mini071707-01.dmp.
посмотрел на форумах про эту ошибку, в основном грешат на память.
проверил память двумя разными тестами. все ок.
попробовал менять местами планки и оставлять по одной. результат тот же.
сегодня уже сил нет. попробую повоевать завтра. у нас уже ночь давно.
на скрепке лог Hijackthis и дамп памяти.
Каждый раз при запуске 3-го скрипта пишет красным:
Функция NtDeleteValueKey (41) перехвачена (8058EAFA->F76F04C2), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056EF68->F76EFFFA), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8057EC28->F76F01B6), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80567BFB->F76EFF4C), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80574D1D->F76F0372), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
и
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5942000, размер=73728, имя = "\??\C:\WINDOWS\system32\DRIVERS\NVKEYNT.SYS"
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: