Wolf46 Posted June 18, 2008 Report Share Posted June 18, 2008 Помогите пожалуйста решить проблему: на днях возникло подозрение на вирус в системе, было скачано обновление для avp, произведено лечение (log ниже). Немногим позже система начала вываливаться в bsod, коды разные(**50, **19, **1E, **100, **7F, **99 - из тех, что записал). Вываливается с периодичнойстью 1 раз в 1-3 часа, затем пытается сделать ребун ос. начинает грузится и опять падает в bsod с новой ошибкой (и так по кругу, пока не перезапустишь целиком комп). Замечано учащение выпадения в bsod при использовании proxyhunter 3.1 (утилиту пользую недавно, но за неделю ничего подобного не было, проверка всеми имеющимися антивирусами ничего не показывает). Далее был скачан дрвеб cureit, просканировано им, ничего не найдено, еще раз просканировано авп, также ничего, скачал авз, просканировал, вроде ничего(log приложен). Также замечана в журнале аутпоста отправка странных пакетов срузу при старте винды на udp на адрес 239,255,255,250 процессом svchost. Адрес принадлежит сша, что туда может конектиться-незнаю... avp_log.txt avz_log.txt avp_log.txt avz_log.txt Link to comment Share on other sites More sharing options...
Matias Posted June 18, 2008 Report Share Posted June 18, 2008 1. Логи не те. Прочитайте правила оформления запроса 2. По поводу BSOD есть специальная тема - Ошибки STOP или Синий экран смерти Link to comment Share on other sites More sharing options...
Wolf46 Posted June 18, 2008 Author Report Share Posted June 18, 2008 сделал нужные логи, посмотрите пожалуста... Link to comment Share on other sites More sharing options...
akoK Posted June 18, 2008 Report Share Posted June 18, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('tcpsr', 4);SetServiceStart('Nnm22', 4);SetServiceStart('Google Online Services', 4);StopService('Google Online Services');QuarantineFile('D:\!!gamelist_recov\copy.bat','');QuarantineFile('C:\Program Files\SaveChm\SaveChm.vbs','');QuarantineFile('C:\WINDOWS\System32\Drivers\OSCI_DRVNT.sys','');QuarantineFile('C:\WINDOWS\system32\blphc9egj0e7br.scr','');QuarantineFile('C:\WINDOWS\services.exe','');QuarantineFile('C:\WINDOWS\ATKKBService.exe','');QuarantineFile('d:\Program Files\Avant Browser\ie_updates3r.exe','');DeleteFile('d:\Program Files\Avant Browser\ie_updates3r.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Nnm22.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\services.exe');DeleteService('tcpsr');DeleteService('Nnm22');DeleteService('Google Online Services');DelBHO('{A5366673-E8CA-11D3-9CD9-0090271D075B}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи. Да намекаю AVP7 и Оутпост несовместимые жители....бсодить и они могут. Link to comment Share on other sites More sharing options...
Matias Posted June 18, 2008 Report Share Posted June 18, 2008 (edited) AVP7 и Оутпост несовместимые жители....бсодить и они могут. Почему? На сайте Агнитум описано, как обеспечить совместную работу Аутпоста и KAV7. Edited June 18, 2008 by Matias Link to comment Share on other sites More sharing options...
akoK Posted June 18, 2008 Report Share Posted June 18, 2008 Почему? На сайте Агнитум описано, как обеспечить совместную работу Аутпоста и KAV7. На сайте касперского тоже есть, но хлопотно это. Решать Вам. Link to comment Share on other sites More sharing options...
Wolf46 Posted June 19, 2008 Author Report Share Posted June 19, 2008 Архив с карантином отправил, произвел скан авз и HijackThis поновой, логи приложил. По поводу авп и аутпоста- отлично жили вместе 2 мес, комп работал иногда сутками подряд, никаких bsod. Правда авп был неактивирован- не было ключа, работал с базой, обновленной при установке, никаих обновлений версий не производилось. Перед глобальной проверкой на вирусы был использован ключ и обновлены базы, после этой проверки и начались проблемы... пс 'D:\!!gamelist_recov\copy.bat' собственных рук творение , а 'd:\Program Files\Avant Browser\ie_updates3r.exe' точно помню после проверки авп удалял, значит что-то где-то еще сидит и делает копии себя, но сейчас данный файл не наблюдаю. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Link to comment Share on other sites More sharing options...
akoK Posted June 19, 2008 Report Share Posted June 19, 2008 (edited) Немногим позже система начала вываливаться в bsod, коды разные(**50, **19, **1E, **100, **7F, **99 - из тех, что записал). Вываливается с периодичнойстью 1 раз в 1-3 часа, затем пытается сделать ребун ос. начинает грузится и опять падает в bsod с новой ошибкой (и так по кругу, пока не перезапустишь целиком комп). Это скринвайзер виноват :) :) :) :) он выдает ложный BSOD и попытку загрузки виндовс......уберите скринвайзер сразу полегчает. С Вами кто-то пошутил. Какие проблемы еще наблюдаются? Edited June 19, 2008 by akoK Link to comment Share on other sites More sharing options...
Форматцевт Posted June 19, 2008 Report Share Posted June 19, 2008 Wolf46: по моёму опыту Аутпоста и Каспер "не дружат" - ИМХО лучше использовать комплексное решение, ну например Kaspersky Internet Security 7.0 или F-Secure Internet Security 2008. ЗЫ KIS я не юзал, вот F-Secure стоит у меня и отлично справляется со своей задачей. ЗЗЫ Просто я в Каспере разочаровался где то полгода назад, ну тормоз он, тормоз и не только по скорости и загрузке, но и по другим параметрам. Link to comment Share on other sites More sharing options...
Wolf46 Posted June 19, 2008 Author Report Share Posted June 19, 2008 Это скринвайзер виноват :mad: :g: :mad: :g: :sm(100): :sm(100): он выдает ложный BSOD и попытку загрузки виндовс......уберите скринвайзер сразу полегчает. С Вами кто-то пошутил. Какие проблемы еще наблюдаются? Незнаю, что такое скринвайзер(яндекс и гугл тоже молчат), поясните пожалуйста. Также на раб столе висела обоя с синим экраном и сообщением посередине, что обнаружен spyware, св-ва дисплея были скрыты (после применения авз и HijackThis проблема решилась). Подумал, что это сделал один из вирей, удаленных авп. Кроме бсода проблем больше нет (уже). пс. когда активно юзал proxyhunter в какйто момент заметил, что ктото сканит мои порты (видимо приняли за атаку), но значение этому не придал, понадеявшись на защиту аутпоста. Примерно с тогоже времени все и началось... Возможно нашли дырку в защите ? пспс спасибо вам за оперативность ответов и за помощь Link to comment Share on other sites More sharing options...
Wolf46 Posted June 19, 2008 Author Report Share Posted June 19, 2008 еще хотел спросить. каков возможный характер проникновения был в систему? могли ли заполучить пароли на мыло, ключи на вэбмани ? Link to comment Share on other sites More sharing options...
akoK Posted June 19, 2008 Report Share Posted June 19, 2008 Незнаю, что такое скринвайзер(яндекс и гугл тоже молчат), поясните пожалуйста. Скринвайзер - хранитель екрана - заставка :g: Эта заставка имитирует падения в BSOD. Также на раб столе висела обоя с синим экраном и сообщением посередине, что обнаружен spyware, св-ва дисплея были скрыты (после применения авз и HijackThis проблема решилась). Да эти вирусы я удалил. пс. когда активно юзал proxyhunter в какйто момент заметил, что ктото сканит мои порты (видимо приняли за атаку), но значение этому не придал, понадеявшись на защиту аутпоста. Примерно с тогоже времени все и началось... Возможно нашли дырку в защите ? Возможну "ухнули" эксплойтом....или вы подхватили "серфя" по интернету. еще хотел спросить. каков возможный характер проникновения был в систему? могли ли заполучить пароли на мыло, ключи на вэбмани ? Сказать что то сложно т.к. ничего стоящего в карантин не попало. Зачем старые логи положили? :mad: AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\blphc9egj0e7br.scr','');DeleteFile('C:\WINDOWS\system32\blphc9egj0e7br.scr');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Все больше ничего не вижу Link to comment Share on other sites More sharing options...
Wolf46 Posted June 19, 2008 Author Report Share Posted June 19, 2008 (edited) Большое спасибо Вам за помощь. а старые логи выложились сами, наверное страница ответа задампилась (при нажатии на ответ история сообщений отображала всего первые 2) Edited June 19, 2008 by akoK Link to comment Share on other sites More sharing options...
akoK Posted June 19, 2008 Report Share Posted June 19, 2008 Скорее всего так и есть :mad:. Поищите соседа шутника. Link to comment Share on other sites More sharing options...
Matias Posted June 19, 2008 Report Share Posted June 19, 2008 (edited) по моёму опыту Аутпост и Каспер "не дружат" Подружить их возможно. Я сам не пробовал (у меня Нод), но у моего знакомого без проблем соседствуют 4-й Аутпост и 7-й Каспер. Edited June 19, 2008 by Matias Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now