-
Junior Member
- Вес репутации
- 60
Система подвисает, перегружается, прямое чтение
Здравствуйте,
Система стала подвисать и перезагружаться
проверил AVZ
выявлено
перехвачены функции NtCreate..., NtOpen...,NtEnumerate... и т.д.,
с участием файлов - aswsp.sys, wax347b.sys
В обработчике IRP
определены перехватчики
Идет прямое чтение
dtscsi.sys
sptd.sys
sptd9005.sys
Логи сканирования прикрепляю
Последний раз редактировалось thyrex; 22.02.2012 в 21:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол. Если не получится отключить Аваст - удалите его
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
DeleteService('runtime2');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Насчет спрашиваемых перехватов - это нормально.
-
-
Junior Member
- Вес репутации
- 60
Срипт выполнил,
Сканирование выполнил
Забыл указать, что avast хоть и не ругался, но показывал что проверял непонятный файл с:\windows\QTfour.fnt ? но такого файла в этой папке я обнаружить не смог.
Последний раз редактировалось thyrex; 22.02.2012 в 21:24.
-
выполните скрипт ...
Код:
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
подозрительный файл пришлите согласно приложения 2 правил ...
-
-
Junior Member
- Вес репутации
- 60
файлы с:\windows\system32\drivers\aswsp.sys и ...wax347b.sys
как я понимаю 1й относится к Avast, 2й к Windows
на которые ругается AVZ сейчас, месяц назад не ругался?
файл c:\windows\qtfont.fnt не обнаружен
забыл - TMP очищены
что дальше делать?
я вылечен или нет?
Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip),
если Вас об этом не просили.
Последний раз редактировалось Rene-gad; 09.09.2008 в 15:11.
-
Нужно подождать ответа аналитиков по поводу подозрительного файла. Наведайтесь к вечеру или завтра и напомните о себе.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-