Показано с 1 по 16 из 16.

vhost. вирус не дает запустить отладчик. перезагружает комп. (заявка № 17986)

  1. #1
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    41

    Thumbs up vhost. вирус не дает запустить отладчик. перезагружает комп.

    интересный вирь. при попытке запуска любого отладчика перегружает комп. запуск AVZ с блокированием перехватчиков кернел-моде приводит к немедленной перезагрузке. Запуск CureIt тоже перезагружает комп.
    выполнил скрипт в защищенном режиме, в обычном перегружается.

    Заметил, что подменяется winlogon, svhost, explorer, но путь показывает правильный. Ещё возможно детектирует отладчики, прописывая для каждого свою среду окружения (в реестре заметил записи). Например, есть замечательная утилитка autoruns (synterials), после замены системных файлов с компакт-диска, в этой программе путь автозапуска для этих файлов(C:\WINDOWS\explorer.exe) был изменен (D:\autoruns\explorer.exe) , хотя в реестре стоял правильный путь, а запуск этой же утилитки из другой папки показывал правильный путь для этих файлов (C:\WINDOWS\explorer.exe).
    восстановление WInd'ы не помогло.
    Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    Выполните скрипт в AVZ
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Nla30\0000', 'CSConfigFlags', '1');
     BC_DeleteSvc('Nla30');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите логи. Прикрепите также boot_clr.log из папки AVZ.

  4. #3
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    41
    после выполнения скрипта (успешно) комп не грузится вообще. даже в защищенном режиме. перезагружается в самом начале загрузки.
    сделал откат к последнему работоспособному.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    Давайте свежие логи.

  6. #5
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    41
    логи не изменились. я же сделал откат.

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    А кто его знает логи те же или нет. Вы уверенны, что откатилось именно к той точке когда Вы делали логи. Не мешало бы сделать новые.

  8. #7
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    41
    я конечно их делаю, я сразу запустил, время уходит...

    Добавлено через 3 минуты

    а скрипт на лечение и сбор инфы работает только в защищенном режиме. толку от него... надо что-то сделать, чтобы работал в обычном режиме.
    ошибка обмена с драйвером (драйвером расширенного режима, как я понимаю)

    Добавлено через 12 минут

    Новые логи из защищенного режима
    Последний раз редактировалось Кабанчик; 13.02.2008 в 15:03. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    41
    свежие логи
    Последний раз редактировалось Кабанчик; 13.02.2008 в 20:15.

  10. #9
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    41
    не успел за сегодня, еду в другой офис. продолжу через день. очень прошу помочь

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    Сделайте логи в нормальном режиме. Используйте только стандартный скрипт №2.

  12. #11
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    41
    есть ограничения на объем загруженных вложений?
    пришлось поудалять старые, чтобы прикрепить эти

    сделал в нормальном режиме.
    Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    скачайте кнопка file ... найдите и удалите ..
    Nla30.sys ... повторите логи ..

  14. #13
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    41
    удалил файл Nla30.sys
    сканирование прошло
    выкладываю логи
    Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    В логах всё нормально.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  16. #15
    Junior Member Репутация
    Регистрация
    31.08.2007
    Сообщений
    35
    Вес репутации
    41
    огромное спасибо :-)

    Добавлено через 9 минут

    а что это за зверь, и как мог попасть?
    юзер довольно осторожный, и сайтами сомнительными не пользуется
    файр стоит, и симантек
    Последний раз редактировалось Кабанчик; 15.02.2008 в 16:19. Причина: Добавлено

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    была одна из разновидностей bulknet ...

  • Уважаемый(ая) Кабанчик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 01.09.2010, 21:27
    2. Вирус не дает запустить AVZ и HiJackThis
      От ParoLicH в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 17.08.2010, 20:00
    3. Вирус не дает запустить ОС
      От fanmas в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:29
    4. Вирус постоянно перезагружает комп!
      От Vivat_rzn в разделе Помогите!
      Ответов: 53
      Последнее сообщение: 22.02.2009, 03:45
    5. Ответов: 1
      Последнее сообщение: 13.02.2008, 15:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00229 seconds with 16 queries