Система Microsoft Windows XP Media Center Edition версия 2002 Service Pack 3. Антивирусник Windows Live OneCare.
Суть проблемы: компьютер стал медленно выключаться и почти не реагирует на Пуск-> выход из системы(или выключение). Плохо работает клавиатура. Выполнила все строго по инструкции. Проверка Касперским и Др.ВЭБ ничего не дали. Файл syscure.zip AVZ не создал.
После запуска AVZ в нормальном режиме работы системы
антивирусник сообщил, что найдет Rootkitdrv.GZ и он, якобы его обезвредил, но... при проверке системы SysProt были найдены руткиты:
System Root\system32\drivers\dump_atapi.sys (moduel Base FDA0F000 module end EDA0F000)
и
System Root\system32\Drivers\dump_WMILIB.SYS (module Base F7BD000
module end F7B7F000 ) Прошу и жду помощи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Система перезагрузится.
После перезагрузки:
- Сделайте повторные логи согласно Правил (Диагностика) virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Все сделано по Вашим указаниям, но файл virusinfo_syscure.zip не сформировался. Почему?... Не знаю. Были предприняты следующие шаги:
1. Был перезакачан AVZ и обновлена база данных.
2. После работы AVZ ,был произведен поиск по всему компьютеру (на всякий случай) - файл не обнаружен.
В папке avz4 находятся следующие подпапки и файлы: Base (думаю, не стоит перечислять все файлы находящиеся в папке); LOG (virusinfo_syscheck.html virusinfo_syscheck.xml virusinfo_syscheck.zip(я его посылаю); ярлык avz; avz.cnt; avz.exe; avz.hlp; version.txt
У меня к Вам просьба. При выполнении скрипта был отключен райтер, который не включался уже более месяца (на нем я слушаю записаные мной лично музыкальный файлы). Проблемы начались дней 5-6 назад, а райтер(еще раз повторюсь) не включался более месяца (некогда было музыку слушать).
В результате на моем компьютере найдено неопознанное оборудование.
Я понимаю, что это не суть столь важно, но у меня к Вам просьба - восстановите, пожалуйста, реестр, чтобы мой райтер был снова опознан системой, хотя бы в конце нашего сотрудничества. P/S На всякий случай, протокол, пестрящий "красным" , работы AVZ был переписан в текстовый блокнот (Выдержка из протокола:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07C020)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000.)
Если он Вам пригодится, могу прислать.
Компьютер перезагружается не менее 7 минут.
Последний раз редактировалось ikarf; 09.10.2009 в 22:49.
Найдите с помощью АВЗ (Сервис - Поиск файлов на диске) вот этот файл C:\WINDOWS\System32\Drivers\SPTD9341.SYS, добавьте его в карантин и закачайте по красной ссылке вверху страницы
Нашла с помощью поиска. Но АВЗ его почему-то не хочет копировать. Наверное я что-то не так делаю!?
Сервис - Поиск файла. Появляется новое окно. Ввожу имя файла. Нажимаю Пуск. Программа АВЗ ничего не делает. Насколько я понимаю в окне файл должен появиться искомый файл и я должна нажать "Копировать отмеченный файл в карантин". Но никакого "движения" на копмьютере в течение 2-3 минут не происходит.
Подскажите, пожалуйста, что делать дальше? Возможно Вам поможет информация из листинга антивирусника:
08.10.2009 23:06
Windows Live OneCare найдены вредные или потенциально нежелательного программного обеспечения на компьютер
Угроза Имя:VirTool: WinNT / Rootkitdrv.GZ
Обнаружение Дата и время:08.10.2009 23:06
Имя файла:C: \ WINDOWS \ System32 \ Drivers \ utm4mje1.sys
Серьезность угрозы:Severe
Угроза Категория:Tool
Вирусов и шпионских программ мониторинга найдены потенциально нежелательного программного обеспечения:(ANTIVIRUS_ONACCESS)Угроза Статус:Удален
08.10.2009 23:06
Windows Live OneCare найдены вредные или потенциально нежелательного программного обеспечения на компьютер
Угроза Имя:VirTool: WinNT / Rootkitdrv.GZ
Обнаружение Дата и время:08.10.2009 23:06
Имя файла:HKLM \ SYSTEM \ CurrentControlSet \ Services \ utm4mje1
Серьезность угрозы:Severe
Угроза Категория:ToolВирусов и шпионских программ мониторинга найдены потенциально нежелательного программного обеспечения:(ANTIVIRUS_ONACCESS)
УгрозаСтатус: Удален
Но..., несмотря на это сообщение, во время работы АВЗ, антивирусник каждый раз сообщает, что найден Rootkitdrv.GZ и каждый раз его удаляет. Может остались следы руткита? Если "да", то как их удалить?
во время работы АВЗ, антивирусник каждый раз сообщает, что найден Rootkitdrv.GZ и каждый раз его удаляет.
А в правилах написано, что при работе AVZ свой антивирусник надо выключать, дабы он не мешал процессу и не удалял драйверы AVZ, полагая, что это руткиты...
А в правилах написано, что при работе AVZ свой антивирусник надо выключать, дабы он не мешал процессу и не удалял драйверы AVZ, полагая, что это руткиты...
Но это происходит только в том случае, когда я проверяла компьютер АВЗ по подозрению на непонятные неполадки. Когда я работаю с АВЗ, антивирусник, естественно, мной отключается.
Сообщение SysProt
Modul name \System Root\System32\Drivers\dump_atapi.sys
Module Base ED9BC000 Module End ED4D4000
Hiden Yes
Modul name \System Root\System32\Drivers\dump_WMILIB.SYS
Module Base F7B73000 Module End F7B75000
Hiden Yes
Добавилась еще одна запись, которой раньше не было:
Modul name \??\DOCUME~1\IRINA\LOCALS~1\Temp\fwkirfod.sys
Service name fwkirfod
Module Base BAA31000 Module End BAA47000
Hiden Yes
Могу прислать log SysProt.
Почему изменились адреса расположения ? Ведь на восстановлении системы стоит запрет.
Спасибо.
Последний раз редактировалось ikarf; 10.10.2009 в 19:47.
Уважаемый пользователь!
Я Вам сказал, что в логах ничего вредоносного не видно. Все драйвера и все записи, которые вы увидели - это нормально. Новые драйвера возникли в результате сканирования и не являются вредоносными.
Чтобы удалить всё новое, удалите установленную программу GMER. Удалите AVZ, для этого выполните скрипт:
Код:
begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
RebootWindows(false);
end.
Система перезагрузиться, после этого удалите папку AVZ.
Ничего больше присылать не нужно, тему можно закрыть, поскольку ничего у Вас вредоносного нет.
Добавлено через 9 минут
В ответ на Ваш вопрос, направленный мне в ПМ: зайдите с помощью Internet Explorer на страницу http://windowsupdate.microsoft.com/
На все запросы - соглашайтесь. В итоге, обновление должно работать.
Все выполненные скрипты в этой ветке ничего не изменяли в Вашей системе, потому указанная ошибка не вызвана работой скриптов.
Последний раз редактировалось gjf; 11.10.2009 в 01:36.
Причина: Добавлено
За быстрый ответ. Но... Попробовала зайти по указанному адресу (моя домашняя страница для Update) все продолжается по-старому. До этих перепетий ничего подобного никогданебыло.
Что мне делать? Если Вас это не затруднит, помогите.
Спасибо.
Последний раз редактировалось ikarf; 11.10.2009 в 04:50.
получила сообщение - все прошло успешно, однако, ситуация та же.
Райтер до сих пор не определен системой. Это произошло сразу после выполнения первого скрипта. Это я могу сказать точно. Так же могу сказать, что за день до обращения на форум, обращалась в Центр обновления (хотя компьютер был уже,скорее всего, заражен) - проверка на выборочные обновления прошла нормально.
ikarf, может хватит заниматься самодеятельностью? Хотите угробить систему? Почитайте внимательно, к каким системам применима та статья, которую Вы привели:
Информация в данной статье относится к следующим продуктам.
* Microsoft Windows Update на следующих платформах
o Microsoft Windows NT 4.0
o Microsoft Windows 95
А у Вас какая?
Давайте так: или Вы выполняете то, что Вас просят, или занимайтесь восстановлением системы самостоятельно.
Я Вам сказал:
зайдите с помощью Internet Explorer на страницу http://windowsupdate.microsoft.com/
На все запросы - соглашайтесь. В итоге, обновление должно работать.
Укажите в ветке дословно какую ошибку и на каком этапе показывает.
Где всё это? При чём здесь восстановление Центра обновления?
По этому адресу я попадаю на свою домашнюю страницу обновлений
По этому адресу я попадаю на свою домашнюю страницу обновлений.
Появляются две кнопки: быстрое обновление и выборочное. Нажимаю на любую из них, появляется сообщения:
Файлы, необходимые для работы функции Windows Update, не зарегистрированы или не установлены на данном компьютере. Для продолжения:
Зарегистрировать или переустановить файлы (рекомендуется)
Выяснить возможные шаги, необходимые для решения проблемы
Нажимаю на продолжить (рекомендуется). Появляется:
403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied
Весь протокол.
Спасибо.
Последний раз редактировалось ikarf; 11.10.2009 в 14:13.
Уважаемый(ая) ikarf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: