Добрый вечер.
Прошу прощения, но у меня не получается даже произвести пункт 8 описаных вами правил. После нажатия на "Выполнить отмеченные скрипты" начинается работа программы и компьютер падает в синий экран.
Посоветуйте, что делать? У меня Dr.Web постоянно находит Backdoor.Bulknet сколько его не лечи.
Заранее благодарен,
Андрей
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Какая версия DrWeb у вас? Если 4.33, то скачайте бету CureIt! - ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe - , отключите восстановление системы и выполните полную проверку системы, загрузившись в безопасном режиме. Если, после проверки, система все-равно будет падать в BSOD при создании логов, сделайте логи так же в безопасном режиме. В этом случае, дополнительно, сделайте логи, о которых написано здесь - http://virusinfo.info/showthread.php?t=10387
Спасибо! Да, у меня Dr.Web 4.33. Я запускал в сейфмоде утилиту от DrWeb - CureIT! из Правил. Она нашла и удалила два зараженных объекта. Но это не повлияло на выпадание синего экрана. Сечас я скачал бету и попробую повторить процесс.
Еще раз благодарю.
Бета вирусов не выявила. Возможно из-за того, что все еще отключено восстановление системы. Сейчас попробую запустить AVZ
Добавлено через 9 минут
Увы, Снова синий экран...
Добавлено через 21 минуту
... в общем, компьютер упал в синий экран и в сейфмоде... Лог не сохранился. Безнадежный случай?
Добавлено через 5 минут
Т.к. стандартные логи добыть не получается, решил попробовать достать дополнительные.
Следуя инструкции дошел до второго пункта, где, после выполнения Пуск/Сохранить протокол снова выпал синий экран...
медленно подкрадывается паника
Последний раз редактировалось ГАФ; 27.07.2007 в 00:59. Причина: Добавлено сообщение
HijackThis-тоже не работает?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Дело том, что я старался не отклоняться от правил и не запускал HijackThis. Сегодня вечером запущу.
если вы не против, я опишу общую ситуацию в кратце:
Dr.Web находил Backdoor.Bulknet при загрузке системы (в runtime.sys) и при выходе в интернет (в непонятных числовых файлах типа 87645990.exe). Я сначала нажимал "лечить" - не помогало, потом "Переименовать" - без толку. При сканировании системы, Dr.Web удаляет все переименованые файлы, но все повторяется снова.
Пару дней назад интернет-связь начала пропадать каждые пару минут работы инета, при чем, в поддержке посмотрели мои логи и сказали, что обрывов связи нет, только много запросов. Что, мол, это явно вирус.
После прочтения правил на Virusinfo.info начал выполнять все по поярдку, ничего не пропуская. В сейфмоде запустил Cureit и она нашла два объекта под Backdoor.Bulknet:
- runtime.sys (как и ранее)
- ip6fw.sys (впервые)
и удалила все это.
После этого, Dr.Web перестал находить Backdoor.Bulknet ни при загрузке системы, ни при выходе в инет, но:
- Связь так и падает каждые пару минут
- При сканировании AVZ выпадает синий эран, как в обычном, так и в сэйф моде.
Я искренне прошу прощения за этот флуд, но что делать дальше, я не представляю. Очень прошу помочь.
Ждём лога HijackThis и будем помогать почти вслепую
Благодарю вас. Вечером, после работы первым делом дома запущу HijackThis
Слава Всевышнему, HijackThis прошел гладко. Вот лог, надеюсь он будет полезен. Заранее спасибо.
выполните скрипт
пришлите карантин согласно приложения 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys',''); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
попробуйте сделать логи AVZ ...
К сожалению, при выполнении скрипта комп выпал в синий экран.
Добавлено через 10 минут
Может попробовать повторить в сэйфмоде?
Последний раз редактировалось ГАФ; 27.07.2007 в 21:17. Причина: Добавлено сообщение
можно попробывать ...
В сэйфмоде тоже синий экран. Я решил переписать Техническую Информацию с синего экрана, может это как-то поможет:
*** STOP: 0x0000008E (0x00000005, 0xF76EE640, 0xF711AB80, 0x00000000)
*** FastFat.sys - Address F76EE640 base at F76EE000, DateStamp 41107eb7
Не уверен, что этот мат поможет, но на всякий случай...
у вас проблемы с памятью судя по ошибке попробуйти попереставлять планки ... попробовать различные сочетания....
С удовольствием попереставляю, но я не знаю что это и где но лежит.
да я даже не знаю , если вы не разу комп не видели разобранный ...
нужно проверить планки памяти... т.е если их несколько попробывать оставить одну и переставлять в разные слоты...
Надо же когда то начинать. Отключите компьютер от электричества. Откройте корпус "коробки" под столом.Обычно сзади прикручивают винтиками(нужна маленькая отвёртка)
Cнимите боковые стенки корпуса
Вот на картинке :
мы видим материнскую плату, на ней справа видно
вероятно слоты(пустое место под планки с памятью) ->жёлтoе чередуются с чёрным .Чтобы снять, нужно аккуратно нажать на белые зажимы с краёв и вытащить планку/и(которая/ые будет/ут торчать у вас на материнке )
Можно ластиком протереть металлические концы на самих планках памяти, поменять местами сами планки.
Заодно взять пылесос, поставить шланг на выдув и продуть внутренность компьютера от пыли
Последний раз редактировалось drongo; 27.07.2007 в 23:29.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Спасибо за детальный ответЯ коечно видел комп в разобранном состоянии и память переставлял. Просто это не называлось 'Планками'.. я решил, что речь о софте идет. Торможу.
Память попереставляю. Не в первой. Спасибо за участие и фотку материнской платы
Добавлено через 36 минут
Разобрал, вынул "планки". Видимых повреждений или дефектов нет. На вид совершенно новые. Поменял местами. На материнке пыли не много, но здул ту, что мог. Все собрал, запустил AVZ. Синий экран выпал в том же месте.
При чем, когда он начинает работать и побегают надписи лога, то один момент пишется много красных (ошибки) надписей. и посе этого падает синий экран... Не знаю, связано ли это с чем-то.
До разборки корпуса произвел полный скан дисков с CureIt Beta. Обнаружил BackDoor.Bulknet в C:\WINDOWS\Temp\startdrv.exe Удалил. Больше ничего найдено не было. после перезагрузки, Dr.Web ничего не говорит...
Последний раз редактировалось ГАФ; 28.07.2007 в 00:38. Причина: Добавлено сообщение
оставте одну планку ... проверте работоспособность ... потом другую... и т д...Сообщение от ГАФ
Не помешает проверить жесткий диск chkdsk /f
Есть вариант: удалить это барахло ручками. в Safe Mode запустить AVZ
-- Сервис -- Диспетчер служб и драйверов -- удаляем (сверху есть крестик) runtime2, runtime. Надеюсь, что "Восстановление системы" отключено.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) ГАФ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
