|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Остатки троянчиков. |
|
|
[решено] Остатки троянчиков.
|
|
Пользователь Сообщения: 95 |
Ноутбук с симптомами "не загружается" Windows XP SP3 Pro
После беглого осмотра выяснил, что система загружается до момента загрузки драйвера isapnp.sys, а дальше ступор. Удалил в папке %SystemRoot%\Sysyem32\drivers "драйвер" с нулевой длинной, из-за которого и стопорилась загрузка. И в итоге вывалилось в BSOD: STOP: c000021a {Fatal System Error} The Windows Logon Process system process terminated unexpectedly with a status of 0xc0000005 (0x00000000 0x0000000) The system has been shutdown. Покопался немного в реестре (удалили лишнее в Image File Formats, а так же поправил ключи запуска userinit и еще чего-то). ОС загрузилась. Вот такая вот история болезни. Прошу добить остальное, что тут водится\осталось. |
|
|
Отправлено: 12:35, 30-08-2010 |
|
Ветеран Сообщения: 522
|
Профиль | Отправить PM | Цитировать проверьте на virustotal.com
C:\Windows\System32\Drivers\Parport.SYS" размер=81920, а должен иметь 76.032 размерчик бывает разный, в зависимости от версии Виндос но на всяк случай HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis Код:
 R3 - URLSearchHook: (no name) - - (no file) Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\odmujra.exe','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\Windows\Temp\odmujra.exe');
DeleteFile('c:\windows\tasks\odmujra.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. сделайте плиз лог RSIT |
|
------- Отправлено: 13:04, 30-08-2010 | #2 |
|
Пользователь Сообщения: 95
|
Профиль | Отправить PM | Цитировать Цитата:
|
|
|
Отправлено: 14:00, 30-08-2010 | #3 |
|
Ветеран Сообщения: 522
|
Профиль | Отправить PM | Цитировать Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
QuarantineFile('C:\5fn472x4.exe','');
DeleteFile('C:\5fn472x4.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. удалить с помощью MBAM Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\synsend (Trojan.Agent) -> No action C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken. C:\Documents and Settings\Артем\Application Data\avdrn.dat (Malware.Trace) -> No action taken. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken. C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken. C:\WINDOWS\Tasks\error scan.job (Trojan.Downloader) -> No action taken. C:\WINDOWS\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken. C:\Program Files\Common Files\wm скачать и установить explorer 8 даже если вы им не пользуетесь сменить все важные для вас пароли! повторить RSIT |
|
------- Отправлено: 14:17, 30-08-2010 | #4 |
|
Пользователь Сообщения: 95
|
Профиль | Отправить PM | Цитировать Да, руткит не самая приятная вещь...
|
|
|
Отправлено: 14:44, 30-08-2010 | #5 |
|
Ветеран Сообщения: 522
|
Профиль | Отправить PM | Цитировать заражения больше не наблюдаю
обновите квик тайм еще ваш как сейчас работает система? если все гуд отмечайте решенной, и придет от касперского на первый скрипт запостите его пож. |
|
------- Отправлено: 15:48, 30-08-2010 | #6 |
|
Пользователь Сообщения: 95
|
Профиль | Отправить PM | Цитировать Система работает на первый взгляд стабильно. Низкий поклон вам.
Ответ запостю, если он конечно придет -- бывало не приходил. |
|
Отправлено: 15:59, 30-08-2010 | #7 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Интерфейс - [решено] Остатки от программы (ярлык в "Мой компьютер" / на рабочем столе) | kvorum | Microsoft Windows 7 | 5 | 13-06-2010 17:10 | |
| Разное - [решено] Как убрать остатки программы из системы | ALI | Microsoft Windows 2000/XP | 2 | 14-03-2010 19:57 | |
| [решено] Остатки после удаления вируса winlock-get | seman | Лечение систем от вредоносных программ | 12 | 21-12-2009 09:37 | |
| [решено] Можно ли удалять остатки старой термопасты одеколоном? | silalex | Процесcоры | 13 | 09-12-2009 19:39 | |
|
|
Время: 22:17. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
