Wolf46 Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 Помогите пожалуйста решить проблему: на днях возникло подозрение на вирус в системе, было скачано обновление для avp, произведено лечение (log ниже). Немногим позже система начала вываливаться в bsod, коды разные(**50, **19, **1E, **100, **7F, **99 - из тех, что записал). Вываливается с периодичнойстью 1 раз в 1-3 часа, затем пытается сделать ребун ос. начинает грузится и опять падает в bsod с новой ошибкой (и так по кругу, пока не перезапустишь целиком комп). Замечано учащение выпадения в bsod при использовании proxyhunter 3.1 (утилиту пользую недавно, но за неделю ничего подобного не было, проверка всеми имеющимися антивирусами ничего не показывает). Далее был скачан дрвеб cureit, просканировано им, ничего не найдено, еще раз просканировано авп, также ничего, скачал авз, просканировал, вроде ничего(log приложен). Также замечана в журнале аутпоста отправка странных пакетов срузу при старте винды на udp на адрес 239,255,255,250 процессом svchost. Адрес принадлежит сша, что туда может конектиться-незнаю... avp_log.txt avz_log.txt avp_log.txt avz_log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 1. Логи не те. Прочитайте правила оформления запроса 2. По поводу BSOD есть специальная тема - Ошибки STOP или Синий экран смерти Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 18 июня, 2008 Автор Жалоба Поделиться Опубликовано 18 июня, 2008 сделал нужные логи, посмотрите пожалуста... Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('tcpsr', 4);SetServiceStart('Nnm22', 4);SetServiceStart('Google Online Services', 4);StopService('Google Online Services');QuarantineFile('D:\!!gamelist_recov\copy.bat','');QuarantineFile('C:\Program Files\SaveChm\SaveChm.vbs','');QuarantineFile('C:\WINDOWS\System32\Drivers\OSCI_DRVNT.sys','');QuarantineFile('C:\WINDOWS\system32\blphc9egj0e7br.scr','');QuarantineFile('C:\WINDOWS\services.exe','');QuarantineFile('C:\WINDOWS\ATKKBService.exe','');QuarantineFile('d:\Program Files\Avant Browser\ie_updates3r.exe','');DeleteFile('d:\Program Files\Avant Browser\ie_updates3r.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Nnm22.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\services.exe');DeleteService('tcpsr');DeleteService('Nnm22');DeleteService('Google Online Services');DelBHO('{A5366673-E8CA-11D3-9CD9-0090271D075B}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи. Да намекаю AVP7 и Оутпост несовместимые жители....бсодить и они могут. Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 (изменено) AVP7 и Оутпост несовместимые жители....бсодить и они могут. Почему? На сайте Агнитум описано, как обеспечить совместную работу Аутпоста и KAV7. Изменено 18 июня, 2008 пользователем Matias Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 Почему? На сайте Агнитум описано, как обеспечить совместную работу Аутпоста и KAV7. На сайте касперского тоже есть, но хлопотно это. Решать Вам. Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 19 июня, 2008 Автор Жалоба Поделиться Опубликовано 19 июня, 2008 Архив с карантином отправил, произвел скан авз и HijackThis поновой, логи приложил. По поводу авп и аутпоста- отлично жили вместе 2 мес, комп работал иногда сутками подряд, никаких bsod. Правда авп был неактивирован- не было ключа, работал с базой, обновленной при установке, никаих обновлений версий не производилось. Перед глобальной проверкой на вирусы был использован ключ и обновлены базы, после этой проверки и начались проблемы... пс 'D:\!!gamelist_recov\copy.bat' собственных рук творение , а 'd:\Program Files\Avant Browser\ie_updates3r.exe' точно помню после проверки авп удалял, значит что-то где-то еще сидит и делает копии себя, но сейчас данный файл не наблюдаю. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 (изменено) Немногим позже система начала вываливаться в bsod, коды разные(**50, **19, **1E, **100, **7F, **99 - из тех, что записал). Вываливается с периодичнойстью 1 раз в 1-3 часа, затем пытается сделать ребун ос. начинает грузится и опять падает в bsod с новой ошибкой (и так по кругу, пока не перезапустишь целиком комп). Это скринвайзер виноват :) :) :) :) он выдает ложный BSOD и попытку загрузки виндовс......уберите скринвайзер сразу полегчает. С Вами кто-то пошутил. Какие проблемы еще наблюдаются? Изменено 19 июня, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 Wolf46: по моёму опыту Аутпоста и Каспер "не дружат" - ИМХО лучше использовать комплексное решение, ну например Kaspersky Internet Security 7.0 или F-Secure Internet Security 2008. ЗЫ KIS я не юзал, вот F-Secure стоит у меня и отлично справляется со своей задачей. ЗЗЫ Просто я в Каспере разочаровался где то полгода назад, ну тормоз он, тормоз и не только по скорости и загрузке, но и по другим параметрам. Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 19 июня, 2008 Автор Жалоба Поделиться Опубликовано 19 июня, 2008 Это скринвайзер виноват :mad: :g: :mad: :g: :sm(100): :sm(100): он выдает ложный BSOD и попытку загрузки виндовс......уберите скринвайзер сразу полегчает. С Вами кто-то пошутил. Какие проблемы еще наблюдаются? Незнаю, что такое скринвайзер(яндекс и гугл тоже молчат), поясните пожалуйста. Также на раб столе висела обоя с синим экраном и сообщением посередине, что обнаружен spyware, св-ва дисплея были скрыты (после применения авз и HijackThis проблема решилась). Подумал, что это сделал один из вирей, удаленных авп. Кроме бсода проблем больше нет (уже). пс. когда активно юзал proxyhunter в какйто момент заметил, что ктото сканит мои порты (видимо приняли за атаку), но значение этому не придал, понадеявшись на защиту аутпоста. Примерно с тогоже времени все и началось... Возможно нашли дырку в защите ? пспс спасибо вам за оперативность ответов и за помощь Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 19 июня, 2008 Автор Жалоба Поделиться Опубликовано 19 июня, 2008 еще хотел спросить. каков возможный характер проникновения был в систему? могли ли заполучить пароли на мыло, ключи на вэбмани ? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 Незнаю, что такое скринвайзер(яндекс и гугл тоже молчат), поясните пожалуйста. Скринвайзер - хранитель екрана - заставка :g: Эта заставка имитирует падения в BSOD. Также на раб столе висела обоя с синим экраном и сообщением посередине, что обнаружен spyware, св-ва дисплея были скрыты (после применения авз и HijackThis проблема решилась). Да эти вирусы я удалил. пс. когда активно юзал proxyhunter в какйто момент заметил, что ктото сканит мои порты (видимо приняли за атаку), но значение этому не придал, понадеявшись на защиту аутпоста. Примерно с тогоже времени все и началось... Возможно нашли дырку в защите ? Возможну "ухнули" эксплойтом....или вы подхватили "серфя" по интернету. еще хотел спросить. каков возможный характер проникновения был в систему? могли ли заполучить пароли на мыло, ключи на вэбмани ? Сказать что то сложно т.к. ничего стоящего в карантин не попало. Зачем старые логи положили? :mad: AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\blphc9egj0e7br.scr','');DeleteFile('C:\WINDOWS\system32\blphc9egj0e7br.scr');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Все больше ничего не вижу Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 19 июня, 2008 Автор Жалоба Поделиться Опубликовано 19 июня, 2008 (изменено) Большое спасибо Вам за помощь. а старые логи выложились сами, наверное страница ответа задампилась (при нажатии на ответ история сообщений отображала всего первые 2) Изменено 19 июня, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 Скорее всего так и есть :mad:. Поищите соседа шутника. Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 (изменено) по моёму опыту Аутпост и Каспер "не дружат" Подружить их возможно. Я сам не пробовал (у меня Нод), но у моего знакомого без проблем соседствуют 4-й Аутпост и 7-й Каспер. Изменено 19 июня, 2008 пользователем Matias Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти