Wolf46 Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 Помогите пожалуйста решить проблему: на днях возникло подозрение на вирус в системе, было скачано обновление для avp, произведено лечение (log ниже). Немногим позже система начала вываливаться в bsod, коды разные(**50, **19, **1E, **100, **7F, **99 - из тех, что записал). Вываливается с периодичнойстью 1 раз в 1-3 часа, затем пытается сделать ребун ос. начинает грузится и опять падает в bsod с новой ошибкой (и так по кругу, пока не перезапустишь целиком комп). Замечано учащение выпадения в bsod при использовании proxyhunter 3.1 (утилиту пользую недавно, но за неделю ничего подобного не было, проверка всеми имеющимися антивирусами ничего не показывает). Далее был скачан дрвеб cureit, просканировано им, ничего не найдено, еще раз просканировано авп, также ничего, скачал авз, просканировал, вроде ничего(log приложен). Также замечана в журнале аутпоста отправка странных пакетов срузу при старте винды на udp на адрес 239,255,255,250 процессом svchost. Адрес принадлежит сша, что туда может конектиться-незнаю... avp_log.txt avz_log.txt avp_log.txt avz_log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 1. Логи не те. Прочитайте правила оформления запроса 2. По поводу BSOD есть специальная тема - Ошибки STOP или Синий экран смерти Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 18 июня, 2008 Автор Жалоба Поделиться Опубликовано 18 июня, 2008 сделал нужные логи, посмотрите пожалуста... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('tcpsr', 4);SetServiceStart('Nnm22', 4);SetServiceStart('Google Online Services', 4);StopService('Google Online Services');QuarantineFile('D:\!!gamelist_recov\copy.bat','');QuarantineFile('C:\Program Files\SaveChm\SaveChm.vbs','');QuarantineFile('C:\WINDOWS\System32\Drivers\OSCI_DRVNT.sys','');QuarantineFile('C:\WINDOWS\system32\blphc9egj0e7br.scr','');QuarantineFile('C:\WINDOWS\services.exe','');QuarantineFile('C:\WINDOWS\ATKKBService.exe','');QuarantineFile('d:\Program Files\Avant Browser\ie_updates3r.exe','');DeleteFile('d:\Program Files\Avant Browser\ie_updates3r.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Nnm22.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\services.exe');DeleteService('tcpsr');DeleteService('Nnm22');DeleteService('Google Online Services');DelBHO('{A5366673-E8CA-11D3-9CD9-0090271D075B}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи. Да намекаю AVP7 и Оутпост несовместимые жители....бсодить и они могут. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 (изменено) AVP7 и Оутпост несовместимые жители....бсодить и они могут. Почему? На сайте Агнитум описано, как обеспечить совместную работу Аутпоста и KAV7. Изменено 18 июня, 2008 пользователем Matias Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 июня, 2008 Жалоба Поделиться Опубликовано 18 июня, 2008 Почему? На сайте Агнитум описано, как обеспечить совместную работу Аутпоста и KAV7. На сайте касперского тоже есть, но хлопотно это. Решать Вам. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 19 июня, 2008 Автор Жалоба Поделиться Опубликовано 19 июня, 2008 Архив с карантином отправил, произвел скан авз и HijackThis поновой, логи приложил. По поводу авп и аутпоста- отлично жили вместе 2 мес, комп работал иногда сутками подряд, никаких bsod. Правда авп был неактивирован- не было ключа, работал с базой, обновленной при установке, никаих обновлений версий не производилось. Перед глобальной проверкой на вирусы был использован ключ и обновлены базы, после этой проверки и начались проблемы... пс 'D:\!!gamelist_recov\copy.bat' собственных рук творение , а 'd:\Program Files\Avant Browser\ie_updates3r.exe' точно помню после проверки авп удалял, значит что-то где-то еще сидит и делает копии себя, но сейчас данный файл не наблюдаю. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 (изменено) Немногим позже система начала вываливаться в bsod, коды разные(**50, **19, **1E, **100, **7F, **99 - из тех, что записал). Вываливается с периодичнойстью 1 раз в 1-3 часа, затем пытается сделать ребун ос. начинает грузится и опять падает в bsod с новой ошибкой (и так по кругу, пока не перезапустишь целиком комп). Это скринвайзер виноват :) :) :) :) он выдает ложный BSOD и попытку загрузки виндовс......уберите скринвайзер сразу полегчает. С Вами кто-то пошутил. Какие проблемы еще наблюдаются? Изменено 19 июня, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 Wolf46: по моёму опыту Аутпоста и Каспер "не дружат" - ИМХО лучше использовать комплексное решение, ну например Kaspersky Internet Security 7.0 или F-Secure Internet Security 2008. ЗЫ KIS я не юзал, вот F-Secure стоит у меня и отлично справляется со своей задачей. ЗЗЫ Просто я в Каспере разочаровался где то полгода назад, ну тормоз он, тормоз и не только по скорости и загрузке, но и по другим параметрам. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 19 июня, 2008 Автор Жалоба Поделиться Опубликовано 19 июня, 2008 Это скринвайзер виноват :mad: :g: :mad: :g: :sm(100): :sm(100): он выдает ложный BSOD и попытку загрузки виндовс......уберите скринвайзер сразу полегчает. С Вами кто-то пошутил. Какие проблемы еще наблюдаются? Незнаю, что такое скринвайзер(яндекс и гугл тоже молчат), поясните пожалуйста. Также на раб столе висела обоя с синим экраном и сообщением посередине, что обнаружен spyware, св-ва дисплея были скрыты (после применения авз и HijackThis проблема решилась). Подумал, что это сделал один из вирей, удаленных авп. Кроме бсода проблем больше нет (уже). пс. когда активно юзал proxyhunter в какйто момент заметил, что ктото сканит мои порты (видимо приняли за атаку), но значение этому не придал, понадеявшись на защиту аутпоста. Примерно с тогоже времени все и началось... Возможно нашли дырку в защите ? пспс спасибо вам за оперативность ответов и за помощь Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 19 июня, 2008 Автор Жалоба Поделиться Опубликовано 19 июня, 2008 еще хотел спросить. каков возможный характер проникновения был в систему? могли ли заполучить пароли на мыло, ключи на вэбмани ? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 Незнаю, что такое скринвайзер(яндекс и гугл тоже молчат), поясните пожалуйста. Скринвайзер - хранитель екрана - заставка :g: Эта заставка имитирует падения в BSOD. Также на раб столе висела обоя с синим экраном и сообщением посередине, что обнаружен spyware, св-ва дисплея были скрыты (после применения авз и HijackThis проблема решилась). Да эти вирусы я удалил. пс. когда активно юзал proxyhunter в какйто момент заметил, что ктото сканит мои порты (видимо приняли за атаку), но значение этому не придал, понадеявшись на защиту аутпоста. Примерно с тогоже времени все и началось... Возможно нашли дырку в защите ? Возможну "ухнули" эксплойтом....или вы подхватили "серфя" по интернету. еще хотел спросить. каков возможный характер проникновения был в систему? могли ли заполучить пароли на мыло, ключи на вэбмани ? Сказать что то сложно т.к. ничего стоящего в карантин не попало. Зачем старые логи положили? :mad: AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\blphc9egj0e7br.scr','');DeleteFile('C:\WINDOWS\system32\blphc9egj0e7br.scr');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Все больше ничего не вижу Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wolf46 Опубликовано 19 июня, 2008 Автор Жалоба Поделиться Опубликовано 19 июня, 2008 (изменено) Большое спасибо Вам за помощь. а старые логи выложились сами, наверное страница ответа задампилась (при нажатии на ответ история сообщений отображала всего первые 2) Изменено 19 июня, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 Скорее всего так и есть :mad:. Поищите соседа шутника. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 19 июня, 2008 Жалоба Поделиться Опубликовано 19 июня, 2008 (изменено) по моёму опыту Аутпост и Каспер "не дружат" Подружить их возможно. Я сам не пробовал (у меня Нод), но у моего знакомого без проблем соседствуют 4-й Аутпост и 7-й Каспер. Изменено 19 июня, 2008 пользователем Matias Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.