-
Junior Member
- Вес репутации
- 50
Вываливается синий экран
ДД!на клиентской машине система периодически вываливается в синий экран,с указанием на winlogon ,либо без указания библиотеки.SDFix
обнаружил массу вирусов с именами tmp*.*, AVP Tool также находит.После лечения ничего не меняется.Через удаленку собрал пару логов.Лог лечения утилитой AVZ отсутствует(выбирали проверку-лечение не скриптом,а вручную,находились подозрительные файлы,причем lsacc.sys поиском на диске не находится)
Заранее спасибы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Протокол антивирусной утилиты AVZ версии 4.34
/
Cкачайте новую версию AVZ, обновите базы и логи переделайте. Должно быть три лога!
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
лог лечения,утилита версии 4.34
утилитку обновлю,конечно
комп немного не под рукой
Добавлено через 3 часа 20 минут
немного обескуражен удалением вложения -в присланном архиве опасность?
Последний раз редактировалось WagonZ; 15.02.2011 в 14:50.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 50
Новые логи + минидамп
старый NOD32 со свежими базами находит в памяти вирус,удалить не может
Авира ничего критического не видит.
Может быть вирус и синий экран не связаны-для этого высылаю минидамп
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\System32\Inst.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Uskiko\ohnuq.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Uskiko\ohnuq.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DeleteFile('digeste.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('catchme');
BC_DeleteSvc('jimzbhj');
BC_DeleteSvc('SSPORT');
BC_Activate;
SetServiceStart('Alerter', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=98147).
Авира и Нод одновременно - не есть гут. Оставьте что-то одно.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
доброночь!
восстановление системы отключил после скрипта лечения и сбора инфо
там же ,в промежутке поставил Авиру и просканировал ей-ничего не нашла,
останется НОД
скрипт выполню завтра,странное дело-файлик amvo.exe помнится,легко распознавался AVZ как червь
И еще вопрос-постоянно запущенный TeamViewer предстваляет угрозу безопасности?Иногда проще в конце дня попросить клиента запустить удаленку
и работать спокойно ,и не мозолить друг другу мозги в рабочий полдень
-
Сообщение от
WagonZ
странное дело-файлик amvo.exe помнится,легко распознавался
Его у вас очевидно нет, только следы от когда-то удаленного.
Включен в скрипт ради зачистки этих следов.
Сообщение от
WagonZ
постоянно запущенный TeamViewer предстваляет угрозу безопасности?
Пренебрежимо малую.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
карантин отправил
Файл сохранён как 110217_103829_virus_4d5cd07523a0f.zip
Размер файла 65041
MD5 61b18ffd32772360f3da0de7725e1887
-
Файл C:\WINDOWS\system32\sfcfiles.dll замените на чистый из дистрибутива http://virusinfo.info/showthread.php?t=51654
Сделайте новые логи.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
файлик подменил,при лечении заметил-сканируется папка system volume information,снова отключил восстановление
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bper ( DrWEB: Trojan.WinSpy.990, BitDefender: Gen:Variant.Buzy.1803, AVAST4: Win32:Parchood-B [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-