BSoD при загрузке в безопасном режиме

**mcgru** · 21.07.2009, 11:05

Здравствуйте!
Ноутбук заражён, по-видимому, руткитом. Антивирус Касперского при сканировании обнаруживает его, но излечить не может. Обновить базы avp не получается - руткит не даёт.
Скачал утилиты, рекомендуемые и тут на сайте, и на kasperskylab.ru.
miniLIveCDDrWeb последний за 20.07 вообще ничего не нашёл.
Перезагрузиться в безопасный режим, чтобы потом запустить cureit или avptool, не получается - появляется BSoD.
Проверка GMER-ом (с другим именем программы) какого-то файла (обычный режим загрузки) в процессе сканирования так же приводит в BSoD.

На ноутбуке находится важная информация, не хотелось бы переустанавливать систему, хочется вылечить.

Помогите, пожалуйста.

Можно ли запускать утилиты в обычном режиме? Обязательно ли проверять компьютер на вирусы - в безопасном режиме?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 21.07.2009, 11:10

Скачайте special avz по ссылке в моей подписи, сделайте им логи в нормальном режиме. Запускать антируткиты из безопасного режима не нужно.

**mcgru** · 21.07.2009, 23:02

Высылаю файлы для анализа.
Спасибо.

**V_Bond** · 21.07.2009, 23:06

выполните скрипт

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\copystar.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\OnextG100.sys','');
 ClearHostsFile;
end.

пришлите карантин согласно приложения 3 правил

**mcgru** · 21.07.2009, 23:55

установил скрипт
высылаю карантин

Добавлено через 17 минут

извиняюсь за невнимательность
выслал карантин согласно правилам

**mcgru** · 22.07.2009, 21:31

помогите плиз
вчера установил высланный Вами скрипт, затем выслал карантин
сегодня комп стал сильно притормаживать при работе в инете на доверенных узлах

Добавлено через 7 минут

Касперский почти постоянно кричит – обнаружено потенциально опасное ПО Hidden object Процесс C:\WINDOWS\system32\smss.exe. Обнаружен руткит. И все. Проделать с этим файлом какие либо действия невозможно. Спасибо.

Добавлено через 5 часов 11 минут

помогите плиз!!!
вчера установил высланный скрипт, затем выслал карантин
сегодня комп стал сильно притормаживать при работе в инете на доверенных узлах
Касперский почти постоянно кричит – обнаружено потенциально опасное ПО Hidden object Процесс C:\WINDOWS\system32\smss.exe. Обнаружен руткит. И все. Проделать с этим файлом какие либо действия невозможно. Спасибо.

**V_Bond** · 22.07.2009, 21:51

ничего плохого не видно ...
такой http://virusinfo.info/showthread.php?t=40120 лог сделайте

**mcgru** · 22.07.2009, 22:15

Два раза скачал архив RootRepeal по ссылке. Два раза разархивировал. Оба раза при его запуске вываливается ошибка
Error-invalid PE image found!
(причем независимо включен Касперский или нет.
Подскажите плиз что еще можно сделать???

**mcgru** · 22.07.2009, 22:23

после перезагрузки прошел дальше
высылаю лог RootRepeal

**V_Bond** · 22.07.2009, 22:49

кроме отсутствия обновлений в логах ничего плохого ...

**mcgru** · 24.07.2009, 15:25

Еще раз здравствуйте!
Все было бы нормально, но постоянно выскакивает окно, что Касперский пытается блокировать потенциально опасное ПО, причем система которая работает с Крипто про, ничего не говорит и работает нормально

24.07.2009 18:17:05 C:\Program Files\Messenger\msmsgs.exe Попытка загрузки нового или измененного модуля cpcrypt.dll в процесс.

Как быть?
Помогите ПЛИЗ!