-
Junior Member
- Вес репутации
- 61
vhost. вирус не дает запустить отладчик. перезагружает комп.
интересный вирь. при попытке запуска любого отладчика перегружает комп. запуск AVZ с блокированием перехватчиков кернел-моде приводит к немедленной перезагрузке. Запуск CureIt тоже перезагружает комп.
выполнил скрипт в защищенном режиме, в обычном перегружается.
Заметил, что подменяется winlogon, svhost, explorer, но путь показывает правильный. Ещё возможно детектирует отладчики, прописывая для каждого свою среду окружения (в реестре заметил записи). Например, есть замечательная утилитка autoruns (synterials), после замены системных файлов с компакт-диска, в этой программе путь автозапуска для этих файлов(C:\WINDOWS\explorer.exe) был изменен (D:\autoruns\explorer.exe) , хотя в реестре стоял правильный путь, а запуск этой же утилитки из другой папки показывал правильный путь для этих файлов (C:\WINDOWS\explorer.exe).
восстановление WInd'ы не помогло.
Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Nla30\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Nla30');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Повторите логи. Прикрепите также boot_clr.log из папки AVZ.
-
-
Junior Member
- Вес репутации
- 61
после выполнения скрипта (успешно) комп не грузится вообще. даже в защищенном режиме. перезагружается в самом начале загрузки.
сделал откат к последнему работоспособному.
-
-
-
Junior Member
- Вес репутации
- 61
логи не изменились. я же сделал откат.
-
А кто его знает логи те же или нет. Вы уверенны, что откатилось именно к той точке когда Вы делали логи. Не мешало бы сделать новые.
-
Junior Member
- Вес репутации
- 61
я конечно их делаю, я сразу запустил, время уходит...
Добавлено через 3 минуты
а скрипт на лечение и сбор инфы работает только в защищенном режиме. толку от него... надо что-то сделать, чтобы работал в обычном режиме.
ошибка обмена с драйвером (драйвером расширенного режима, как я понимаю)
Добавлено через 12 минут
Новые логи из защищенного режима
Последний раз редактировалось Кабанчик; 13.02.2008 в 15:03.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Кабанчик; 13.02.2008 в 20:15.
-
Junior Member
- Вес репутации
- 61
не успел за сегодня, еду в другой офис. продолжу через день. очень прошу помочь
-
Сделайте логи в нормальном режиме. Используйте только стандартный скрипт №2.
-
-
Junior Member
- Вес репутации
- 61
есть ограничения на объем загруженных вложений?
пришлось поудалять старые, чтобы прикрепить эти
сделал в нормальном режиме.
Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.
-
скачайте кнопка file ... найдите и удалите ..
Nla30.sys ... повторите логи ..
-
-
Junior Member
- Вес репутации
- 61
удалил файл Nla30.sys
сканирование прошло
выкладываю логи
Последний раз редактировалось Кабанчик; 17.12.2010 в 18:10.
-
В логах всё нормально.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
-
-
Junior Member
- Вес репутации
- 61
огромное спасибо :-)
Добавлено через 9 минут
а что это за зверь, и как мог попасть?
юзер довольно осторожный, и сайтами сомнительными не пользуется
файр стоит, и симантек
Последний раз редактировалось Кабанчик; 15.02.2008 в 16:19.
Причина: Добавлено
-
была одна из разновидностей bulknet ...
-