система работает не стабильно, подозреваю у себя вирус в МБР

[Kirius]

Приветствую.

Проблема: отваливается DHCP, зависания программ, невозможность удаления файлов найденых скриптами АВЗ (файлы вида a**y0*.sys %windir%/system32/drivers), в логе АВЗ:
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A9C51E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A9C51E8 -> перехватчик не определен

[pig]

Перехваты от Daemon Tools (sptd.sys и его детки).

[Kirius]

Перехваты от Daemon Tools (sptd.sys и его детки).

sptd.sys avz определяет и пишет безопасным.
до какого то момента того что я выше привел - небыло.
появилось недавно, и нестабильность появилась недавно.
грешу на софтину EasyBCD (мэненджер загрузки систем) поставил не так давно. по умолчанию в винде стоит НОД, иногда проверяю АВЗ и Ад-Аваре. после начала глюков прошелся всем чем можно, дрвебом в том числе. ничего... после анализа системы АВЗ все время находит некий драйвер с которым не может ни чего сделать, на винчестере его не видно.

Строчка: "D:\WIN_SP2\System32\Drivers\a2cum581.SYS" в virusinfo_syscheck.htm, вот типа такого файла в сисчек авз находит, имя различное, доступа до файла не получить.

[Kirius]

Для меня лекарства нету?
Систему сносить, скорее всего не поможет, да и проблемно, т.к. на сколько я понимаю - надо формитировать винчестеры...

[kps]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('D:\TEMP\Boo55.tmp\SERGEJ_L.CHM','');
 QuarantineFile('D:\WIN_SP2\System32\Drivers\aflj1f91.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22086 ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Попробуйте отключить ненужное в msconfig - закладка "Автозапуск", может после этого системе полегчает.

[Kirius]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('D:\TEMP\Boo55.tmp\SERGEJ_L.CHM','');
 QuarantineFile('D:\WIN_SP2\System32\Drivers\aflj1f91.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22086 ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Попробуйте отключить ненужное в msconfig - закладка "Автозапуск", может после этого системе полегчает.

Скрипт выполнил. Выполнил Мастер поиска и устранения проблем. К файлам вида а*(буквы,цифры).sys АВЗ не может получить доступа (о чем выше писал), в карантин отправляется файл длинны 0. Все ненужное в мсконфиг отключено. Загрузил файлы из карантина которые вы запросили, так же загрузил файл с подозрением на вирус от 23-го числа.

[rubin]

Для чистоты эксперимента можно попробовать деинсталлировать Daemon Tools и повторить логи... имхо от него все

[Kirius]

Для чистоты эксперимента можно попробовать деинсталлировать Daemon Tools и повторить логи... имхо от него все

Даемона удалил...

[rubin]

В старом карантине все чисто.
Как видим, после удаления даемона пропали IRP перехваты и некарантинящиеся драйверы a?????????.sys...
В целом в логах ничего плохого не вижу

[Kirius]

В старом карантине все чисто.
Как видим, после удаления даемона пропали IRP перехваты и некарантинящиеся драйверы a?????????.sys...
В целом в логах ничего плохого не вижу

Файлы вида a?????????.sys пропали, кажется, до сноса даемона но после чего - не знаю. весь день систему мучаю, вроде как теперь все нормально...

Надеюсь теперь система будет работать получше. Спасибо за уделенное время.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены