-
Junior Member
- Вес репутации
- 61
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Dida
Приветствую!
Хапнул вирусы:
C:\WINNT\system32\Parser2NDFL.dll инфицирован Trojan.DownLoader.origin
C:\WINNT\system32\drivers\asc3550u.sys инфицирован Trojan.Proxy.origin
C:\5.tmp инфицирован Trojan.Packed.147
Пролечил Dr.Web v4.44... (Удалил).. вроде все ОК... все работает, но... при подключении сетевого кабеля (локальная сеть) сразу перезагрузи системы. При выключении автоперезагрузки, машина вылетает в "Экран смерти"... сообщение: "KMODE_EXCEPTION_NOT_HANDLED". В журнале системы сообщение: Компьютер был перезагружен после критической ошибки: 0x0000001e (0xc0000005, 0x00000000, 0x00000000, 0x00000000).
Если есть дамп памяти, можете обратиться в Суппорт Доктора Веба.
Сообщение от
Dida
Грешил на сетевую карту... поменял на другую, все так же перегружаемся. Попробовал воспользоваться утилитой WinsockFix, эффекта "0". Мне тут намекнули, что что-то с "сетевыми интерфейсами".... а как переустановить сетевые интерфейсы?
Подскажите хоть в какую сторону "копать" Что в системе не так и как подправить?
Заранее спасибо!
Какой антивирус установлен? Если Доктор Веб, попробуйте spiderml -remove, или более кардинально - запишите Ваши сетевые настройки и попробуйте выполнить netsh winsock reset (если у Вас ХР SP2).
-
Junior Member
- Вес репутации
- 61
Сообщение от
borka
Угу.... в суппорт обращался После "изучения" дампа... тех поддержка снизошла до ответа, что Dr.Web в перезагрузках не виноват ... а кто б спорил..., но файлы-то "Удалял" Dr.Web Рекомендовали " переустановить сетевые интерфейсы"... но как это сделать умолчали.... Может кто подскажет?
Сообщение от
borka
Какой антивирус установлен? Если Доктор Веб, попробуйте spiderml -remove, или более кардинально - запишите Ваши сетевые настройки и попробуйте выполнить netsh winsock reset (если у Вас ХР SP2).
Как выполнить эти "кардинальные" меры на 2000-ке?
Dr.Web снес напрочь, перезагруз остался...
Стоит win2000? b , и был Dr.Web 4.44
-
У данного ресурса есть правила - http://virusinfo.info/showthread.php?t=1235 , после выполнения которых оказывается помощь. Гадания на кофейной гуще, взгляды сквозь сумрак и.т.д. редко приносят положительный эффект.
-
-
Сообщение от
Dida
Угу.... в суппорт обращался
Есть предложение продолжить обсуждение на форуме Dr.Web.
Последний раз редактировалось borka; 15.10.2007 в 14:47.
---
С уважением,
Borka.
-
Junior Member
- Вес репутации
- 61
Сообщение от
Shu_b
У данного ресурса есть правила....
Сори... Не думал, что по моей проблеме это так критично. Исправился. Логии закачал.
Заранее спасибо.
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
QuarantineFile('Nljs57.sys','');
BC_QrSvc('Nljs57');
BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин. Надеюсь модераторы перенесут тему в нужный раздел. Сверху будет тогда ссылка для закачки.
Мне кажется, что здесь далеко не все удалено Доктором.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\System32\Drivers\Nljs57.sys','');
DeleteFile('C:\WINNT\System32\Drivers\Nljs57.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
IMHO проблема должна решиться.
Карантин пришлите согласно приложению 3 правил.
Сделайте новые логи для контроля.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
PavelA, Bratez спасибо за ценные советы!
Выполнив ваши рекомендации... проблема разрешена! Сеть заработала. Новые логии и вирус закачал на форум.
Еще разок, огромное спасибо за квалифицированную и оперативную помощь!!!
ЗЫ. Странно... то что AVZ скинул в карантин, теперь определяется DrWeb 4.44 как avz00001.dta - инфицирован Trojan.NtRootKit.414 но, правда, как только появилась сеть я обновил базы.
-
карантин нужно загружать согласно приложения 3 правил!
Код:
Scan taken on 16 Oct 2007 10:06:18 (GMT)
A-Squared Found nothing
AntiVir Found TR/Rootkit.Gen
ArcaVir Found nothing
Avast Found Win32:Agent-MET
AVG Antivirus Found BackDoor.Generic8.UKX
BitDefender Found Trojan.Srizbi.V
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found Trojan.NtRootKit.414
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Rootkit.Win32.Agent.kb
Fortinet Found W32/Agent.KB!tr.rkit
Kaspersky Anti-Virus Found Rootkit.Win32.Agent.kb
NOD32 Found Win32/Rootkit.Agent.HU
Norman Virus Control Found nothing
Panda Antivirus Found Trj/Downloader.MDW
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found Rootkit.Win32.Agent.kb
Последний раз редактировалось Shu_b; 16.10.2007 в 14:10.
-
-
Junior Member
- Вес репутации
- 61
Да вроде так и делал... единственное, что архивировал уже на Flash-ке уже на другой машине. Исправил и перезалил.
-
Сообщение от
Dida
ЗЫ. Странно... то что AVZ скинул в карантин, теперь определяется DrWeb 4.44 как avz00001.dta - инфицирован Trojan.NtRootKit.414 но, правда, как только появилась сеть
я обновил базы.
Логи надо было сюда, а карантин по ссылке.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-