Работает примерно минут 10, потом в независимости от загруженного приложения уходит в ребут. На компе стоял антивирус trendmicro.
Логи прикрепил.
Работает примерно минут 10, потом в независимости от загруженного приложения уходит в ребут. На компе стоял антивирус trendmicro.
Логи прикрепил.
"Пофиксите" в HijackThis
В AVZ -> файл-> Выполнить скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\KorginaLP\Local Settings\Temp\3\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\apcupsn.exe',''); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{725FBEBD-B083-44C7-99D7-007F5ACC0CFE}'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\ndzlib.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteFile('000005B5.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Documents and Settings\All Users\Application Data\ndzlib.dll'); DeleteFile('C:\Documents and Settings\KorginaLP\Local Settings\Temp\3\svchost.exe'); BC_ImportAll; ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Повторите логи по правилам.
Почистите файл HOSTS от лишних записей.
Оставьте только это, если это вашеКод:127.0.0.1 localhost 10.2.241.76 appnonprod4.pds.ds.sibirtelecom.ru 10.2.242.227 ssl.oebs.ds.sibirtelecom.ru 10.2.240.3 ap1.oebs.ds.sibirtelecom.ru 10.2.245.68 sdo.app.ds.sibirtelecom.ru
Карантин закачан, логи прикрепил.
Выполнить скрипт:
Прислать весь комплект логов, сделав их заново.Код:begin SetAVZPMStatus(True); ExecuteRepair(9); RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Прикрепил логи.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('wohasrpfcvmuvgv'); QuarantineFile('C:\WINDOWS\system32\drivers\mbscveicr.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('securentm'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\mbscveicr.sys'); DeleteFile('C:\WINDOWS\system32\urlmon.exe'); DeleteFile('C:\Documents and Settings\KorginaLP\Local Settings\Temp\3\svchost.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
логи и карантин закачаны.
C:\WINDOWS\system32\apcupsn.exe - пришлите согласно приложения 2 правил
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\apcupsn.exe)
Карантин с использованием прямого чтения - ошибка.
выполните скрипт
что с проблемами ?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('MSIServerDcomLaunch'); DeleteFile('C:\WINDOWS\system32\apcupsn.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте лог http://virusinfo.info/showthread.php?t=40120
Лог Выполнил, комп работает хорошо, спасибо большое!
На всякий случай лог прикрепил.
Не убегай. скорее всего, надо будет добить еще одного гада.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
На вкладке "Files" скопируйте эти 2 файла по правой кнопке "Copy File" на Рабочий стол под именами 1 и 2.
C:\WINDOWS\Temp\xsvmjsfqnogefk.sys
C:\WINDOWS\system32\drivers\str.sys
После копирования удалите по правой кнопке "Wipe File" и перезагрузитесь.
Файлы 1 и 2 запакуйте с паролем "virus" и пришлите по красной ссылке вверху темы.
Повторите лог RootRepeal.
Да, точно недобили. Спустя час комп продолжил рестарты. Как будет доступ к компу - буду препарировать. Рано, блин, радовался.
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
C:\WINDOWS\Temp\xsvmjsfqnogefk.sys -
Rootkit.Win32.Agent.bdli вот так назывался Ваш зверь, причем Аваст, Касперский, Доктор его знают.
Самое противное, что он еще не удален.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
окей, сейчас запущу на скан свежий куреит.
Не берет его куреит. Попробую в сэйф моде.
Последний раз редактировалось Тарасов Сергей; 26.04.2010 в 13:32.
Закройте пожалуйста тему.
Уважаемый(ая) Тарасов Сергей, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.