Проблемы с загрузкой windows

**strimlet** · 26.10.2008, 14:24

Подцепила я какую-то гадость, которая не дает загружаться нормально винде(перезагрузить нужно раз 10, чтоб зайти) при этом тормозит работу, иногда начинает вдруг перезагрузку. Этот гадосный вирус не определяется ни нодом, ни доктором вебом, так как действуют руткиты.CureIt и AVPTool скачать не удается почему-то. В безопасный режим тоже не могу зайти-перезагружается.Загружалась с Кaspersky Emergency- то же не находит ничего

Еле сделала логи, т.к. только находились зловредные dll- мгновенно начиналась перезагрузка

Помогите, пожалуйста, борьба с этим гадом стало дело принципа - или я или он

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 26.10.2008, 14:54

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\iedkcs32.dll','');
 QuarantineFile('c:\windows\system32\csrcs.exe','');
 DeleteFile('c:\windows\system32\csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\iedkcs32.dll');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Загрузите карантин согласно приложению №3 правил.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.

**strimlet** · 26.10.2008, 16:10

Все сделала.

**AndreyKa** · 26.10.2008, 17:35

Пофиксте в HijackThis эту строку:

O4 - HKCU\..\Run: [] C:\Documents and Settings\MASTER\Application Data\Adobe\Player.exe

Как с проблемами?

**strimlet** · 26.10.2008, 22:29

Вроде грузится норамально, но avz по прежнему пишет:1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07C020)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80553020
KiST = 80501B9C (284)
Функция NtEnumerateKey (47) - модификация машинного кода. Метод не определен.
>>> Функция воcстановлена успешно !
Функция NtFlushInstructionCache (4E) - модификация машинного кода. Метод не определен.
>>> Функция воcстановлена успешно !
Функция якобы востановлена успешно,но при перезагрузке снова появляется

**V_Bond** · 26.10.2008, 22:42

установите AVZPM (как см раздел чаво) и сделайте новые логи ...

**strimlet** · 27.10.2008, 00:31

Не могу создать третий лог никак.Своими безконечными перезагрузками во время выполнения скрипта комп доводит меня до бешенства...P.S.кроме файла tdssserv.sys большие подозрения наводит на себя TDSSI.dll

**Гриша** · 27.10.2008, 00:38

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\systemroot\system32\drivers\TDSSserv.sys','');
 DeleteFile('\systemroot\system32\drivers\TDSSserv.sys');
 DeleteFile('\systemroot\system32\drivers\TDSSserv.dta');
 QuarantineFile('TDSSI.dll',' ');
 QuarantineFile('C:\WINDOWS\system32\TDSSI.dll ',' ');
 DeleteFile('C:\WINDOWS\system32\TDSSI.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**strimlet** · 27.10.2008, 01:24

Вроде ниче страшного нету...так, остаточные явления

**V_Bond** · 27.10.2008, 09:03

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\mupsnt.dll','');
 DeleteFile('C:\WINDOWS\System32\mupsnt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

**strimlet** · 27.10.2008, 17:00

Блин, все равно шо-то где-то осталось.....

**V_Bond** · 27.10.2008, 17:16

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{D7B4D56E-FAB7-11DA-A843-0013D4B31400}');
 QuarantineFile('C:\Program Files\eSMSeMMS\IEPlugin\Bin\tmIEToolbar.dll','');
 DelBHO('{D88E1558-7C2D-407A-953A-C044F5607CEA}');
 DeleteFile('C:\Program Files\Mjcore\Mjcore.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи