|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » тяжелый случай |
|
тяжелый случай
|
Ветеран Сообщения: 623 |
Профиль | Отправить PM | Цитировать
Принесли комп, на котором не было антивируса.
проличил. в основным были Sality и Def. все временные файлы убрал ну как по классике. сделал логи с avz только 1 скрипт, при выполнении 2-го синий экран (IRQ_or_less) в хостах все лишнее убрал. malwarebytes нашел много гадов - удалил. gmer видит много угроз |
|
Отправлено: 18:51, 11-10-2009 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать seman, Здравствуйте. Случай действительно тяжёлый. Сделайте ещё эти логи. По порядку, сначала лог SDFix потом остальные.
• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению. Описание SDFix есть здесь. •Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. •Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe. |
------- Отправлено: 19:35, 11-10-2009 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 623
|
Профиль | Отправить PM | Цитировать Drongo
перед запуском всех утилит, припервой загрузке - синий экран без описания ошибок, но текст на весь экран, при перезагрузке - ок. |
Последний раз редактировалось seman, 04-01-2010 в 18:54. Отправлено: 19:38, 12-10-2009 | #3 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать seman, Сейчас сделаю скрипт для AVZ
* Подробнее можно прочитать в этой теме. • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('jatmlano', 4); StopService('jatmlano'); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\jatmlano.sys',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe',''); QuarantineFile('C:\Documents and Settings\1\Templates\Brengkolang.com',''); DeleteFile('C:\Documents and Settings\1\Templates\Brengkolang.com'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\jatmlano.sys'); DeleteService('jatmlano'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(2); ExecuteRepair(6); ExecuteRepair(13); ExecuteRepair(16); RebootWindows(true); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. Повторите логи и что с проблемой после выполнения скриптов? |
------- Отправлено: 21:26, 12-10-2009 | #4 |
Ветеран Сообщения: 623
|
Профиль | Отправить PM | Цитировать Drongo,
сегодня попробую. Если не затруднит Вас не могли бы Вы проверить логи с другого компа? на этом компе явных симптомов не видно, кроме незначительного притормаживания, нашел kido - удален. постоянно выплывает надпись мало виртуальной памяти. (хотя на разделе, где лежит файл подкачки, места хватает.) |
|
Последний раз редактировалось seman, 04-01-2010 в 18:54. Отправлено: 14:13, 13-10-2009 | #5 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать
* Подробнее можно прочитать в этой теме. • Знаком ли вам файл: C:\WINDOWS\system32\AE710C\F3119F.EXE ? Если нет, то проверьте следующие файлы: Цитата:
1. http://www.virustotal.com/ru/ 2. http://www.virscan.org/ 3. http://virusscan.jotti.org/ru Полученый результат проверки укажите в теме в ввиде ссылок. Если проверяемый файл окажется чистым, исключите из выполнения скрипта, строки выделеные красным цветом, если же окажется вирусом, исключать не нужно. • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('aexfmux', 4); StopService('aexfmux'); QuarantineFile('C:\WINDOWS\system32\AE710C\F3119F.EXE',''); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); DeleteFile('C:\WINDOWS\system32\01.tmp'); DeleteFile('C:\WINDOWS\system32\AE710C\F3119F.EXE'); DeleteService('aexfmux'); BC_ImportAll; ExecuteSysClean; BC_Activate; В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. После чего повторите логи HiJackThis и AVZ |
|
------- Отправлено: 16:46, 13-10-2009 | #6 |
Ветеран Сообщения: 623
|
Профиль | Отправить PM | Цитировать Цитата Drongo:
физически их уже нет на диске. может поэтому скрипт выдал ошибку ошибка скрипта ; позиция 14:1 ошибка скрипта ; позиция 10:1 первый скрипт тоже не сработал ошибки те же физически файлов этих нет открыл autioruns ссылки есть на запуск этих вирусов, но самих файлов нет (установлено file not found) убрал все ссылки однако при выполнении 2 скрипта - синий экран и через раз синий экран при загрузке. |
|
Последний раз редактировалось seman, 13-10-2009 в 19:33. Отправлено: 17:37, 13-10-2009 | #7 |
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Поправлю первый скрипт и добавлю
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\AE710C\F3119F.EXE',''); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); DeleteFile('C:\WINDOWS\system32\01.tmp'); DeleteFile('C:\WINDOWS\system32\AE710C\F3119F.EXE'); DeleteService('aexfmux'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(19); RebootWindows(true); end. Выполните остальное из сообщения Drongo + лог combofix сделайте еще раз |
------- Отправлено: 22:50, 13-10-2009 | #8 |
Ветеран Сообщения: 623
|
Профиль | Отправить PM | Цитировать thyrex
после выполнения скрипта - синий экран (IRQL_NOT_LESS_OR_EQUAL) после рестарта опять он же анализ дампа Probably caused by : memory_corruption IRQL_NOT_LESS_OR_EQUAL (a) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If a kernel debugger is available get the stack backtrace. Arguments: Arg1: 0047051c, memory referenced Arg2: 00000002, IRQL Arg3: 00000000, bitfield : bit 0 : value 0 = read operation, 1 = write operation bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status) Arg4: 804d483f, address which referenced memory большие сомнения что проблема с памятью на всякий случай сейчас запущу memtest |
Последний раз редактировалось seman, 15-10-2009 в 19:48. Отправлено: 18:59, 15-10-2009 | #9 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать seman, Да уж, случай действительно тяжёлый... Скрипт составлял я. Первый скрипт запустился, а при втором
синий экран? С такой ошибочкой вам сюда - Устранение критических ошибок Windows -> IRQL_NOT_LESS_OR_EQUAL. |
------- Отправлено: 19:56, 15-10-2009 | #10 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
[решено] Зависает ПК в играх (не стандартный случай) | WiZ_LV | Непонятные проблемы с Железом | 30 | 31-03-2010 08:15 | |
Proxy/NAT - не обычный случай с подключением через NAT <PortMapping, Virtual Server> | VovaLESH | Сетевые технологии | 15 | 30-08-2009 23:00 | |
Разное - [решено] Виснет ПК, не могу разобраться интересный случай. | goldsmith | Microsoft Windows 2000/XP | 2 | 15-05-2009 11:10 | |
Отдельный случай на 13-й минуте | Spellpower | Автоматическая установка Windows 2000/XP/2003 | 9 | 20-03-2009 02:22 | |
[решено] Очень Странный случай c MSI 848Р Neo | amigo-64 | Непонятные проблемы с Железом | 35 | 13-06-2007 11:57 |
|