Компьютер попал ко мне в почти убитом состоянии - слетел драйвер видеокарты, не работал TCP-IP.
Лечил с помощью CureIt, NOD32, Kav, Avz. Все находили кое-что, но какая-то зараза оставалась.
С помощью загрузочного CD (Bart PE+Kasper Intrernet security) удалось вычистить казалось бы последнюю порцию заразы, в том числе кое-что классифицировалось как rootkit.
Но судя по всему что-то еще сидит. Симптомы следующие:
1. AVZ ругается на маскировку драйвера parport.sys, причем это ноутбук, у которого нету параллельного порта.
2. Сразу после загрузки Outpost ругается, что скрытый процесс запрашивает исходящее соединение (svchost.exe запущен winlogon.exe)
3. Система не грузится в safe mode. Загрузка доходит до списка пользователей (это XP home) и затем система выключается. Не падает, а именно выключается, так как перезагрузка после BSOD отключена, минидампы не создаются, а в system event log создается запись "Служба журнала событий остановлена".
Прилагаю протоколы avz и hijackthis собранные согласно правилам раздела.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Для PavelA:
SetAVZPM(true); не проходит проверку синтаксиса, но я включил AVZPM через меню.
В остальном все сделал, как сказано, карантин отправил
Но avz продолжает ругаться на маскировку драйвера parport.sys
Для PavelA:
SetAVZPM(true); не проходит проверку синтаксиса, но я включил AVZPM через меню.
В остальном все сделал, как сказано, карантин отправил
Но avz продолжает ругаться на маскировку драйвера parport.sys
В карантин не попал parport.sys. Попала другая дллька
Скорее всего, это обшибочка AVZ.
Сообщение от Mur466
для Bratez
Из них исчезло (file missing). Я теперь не знаю - фиксить их или нет
В результате всех действий:
1. Ругань на parport.sys осталась
2. Safe Mode не грузится
3. НО пропал запрос скрытого процесса на исходящее соединение
Где file missing - фиксить, но только те строчки что писал Bratez.
Safe Mode - восстановить - AVZ - восстановление системы - п.10
В карантин не попал parport.sys. Попала другая дллька
Скорее всего, это обшибочка AVZ.
Я загрузился с загрузочного CD BartPE и сравнил C:\windows\system32\drivers\parport.sys с файлом с другой системы с помощью утилиты fc.exe. Они оказались одинаковые. На всякий случай я удалил C:\windows\system32\drivers\parport.sys. AVZ на него ругаться перестал, но в диспетчере устройств он вылез с воскл.знаком. Пришлось вернуть на место.
Сообщение от PavelA
Safe Mode - восстановить - AVZ - восстановление системы - п.10
Напоминаю суть проблемы: после лечения зоопарка на ноутбуке, есть сомнения, что вылечилось не все.
Симптомы:
1. Не удается загрузить safe mode. Загрузка доходит до экрана со списком пользователей, через 1 секунду система перегружается. При этом в настоящий момент в system event log не появляется запись "служба журнала событий остановлена"(Хотя вчера при перезагрузке такая запись появлялась). Автоперезагрузка после синего экрана отключена. Создание минидампов включено, но после перезагрузки они не появляются.
Восстановление загрузки safe mode с помощью AVZ не помогает.
2. AVZ ругается на маскировку драйвера parport.sys. Сам драйвер вроде бы "родной". На ноутбуке параллельный порт не установлен.
Сделал. Теперь outpost работает в каком-то Service Mode, не знаю что это такое.
Сообщение от PavelA
По поводу SafeMode: есть утилита Bootvis. Где живет не помню, но можно поискать и при помощи нее посмотреть, что происходит при загрузке.
К сожалению, он загрузку SafeMode не трассирует. По крайней мере у меня не получилось. Вместо этого он трассирует загрузку уже после попытки войти в SafeMode.
Значит надо будет восстановить эту строчку из Backupa hijackThis и поискать в regedit firewall\wl_hook.dll. Причем именно так как написано.
Если найдется, то удалить. Затем заново сделать лог hijackThis и посмотреть на строку. Д.б. указание только на последнюю dll
К сожалению, не знаю как это исправить в Outpost. Может кто-то другой что-то подскажет.
Насчет parport.sys - возможно в BIOS включена поддержка порта. Вот винда и ставит этот драйвер.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Про parport: В этом ноуте нет возможности войти в BIOS Setup, есть только утилиты для конфигурации BIOS в Control Panel. В них никак параллельный порт не упоминается
В ntbtlog.txt пишется, что он не не загружается.
Код:
Did not load driver \Systemroot\System32\Drivers\Parport.sys
Может с ним все в порядке, так и должно быть?
Меня больше всего волнует не работающий Safe Mode. Ключ SafeBoot в регистри уже восстанавливал и с помощью AVZ и вручную копировал с другой машины. Не помогает
На этот пост я уже натыкался в своих поисках. Там проблема другая - F8 не работает. А у меня работает.
На всякий случай сделал то, что там описано (отредактировал boot.ini) и загурзил Safe Mode через меню. Ситуация не улучшилась.
Начинается загрузка в Safe mode. Загружаются драйвера, затем черный экран, по углам написано "Безопасный режим Windows XP сборка такая-то", затем синий экран с сообщением "Запуск Windows...", затем появляется список пользователей - под кем войти. Через секунду ноут идет на перезагрузку.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: