sergey_09 Posted November 22, 2009 Report Share Posted November 22, 2009 Добрый вечер. Несколько дней назад начались проблемы в работе компьютера. В начале, примерно раз в 2-3 часа, стала выскакивать сообщение "Improper shutdown during VGA clock setting", через 5 -10 секунд Винда выпадала в синий экран с ошибкой "BAD_POOL_CALLER" STOP:0X000000C2. Затем сообщения стали выскакиватьпостоянно, через 3-5 секунд, после загрузки WINDOWS, причём сообщения постоянно менялись:"Improper shutdown during VGA clock setting", "Gamma Tray CreateDC() Failed" и "Ошибка при попытке загрузить newdev.dll". После сообщения, через несколько секунд, синий экран с различными ошибками:"BAD_POOL_CALLER" STOP:0X000000C2 либо STOP:0X0000008E, иногда "SET_OF_INVALID_CONTEXT" STOP:0X00000030 и "DRIVER_CORRUPTED_MMPOOL" STOP: 0X000000D0. CureIT, последней версии, при проверке системы в режиме SAVE MODE нечего не обнаружил. Затем просканировал AVP TOOL. AVP TOOL обнаружил 2 инфицированных файла: в каталоге SYSTEM32\sfcfiles.dll заражённый Trojan.Win32.Patched.fr и в SYSTEM32\042c40\eAPI.fne заражённый Trojan.Win32.ВНО.isy После окончания проверки AVP TOOL предложил удалить эти файлы т. к. лечение было не возможно. После удаления файлов, до перезагрузки, в папку SYSTEM32 был скопирован файл sfcfiles.dll взятый с другой машины. После перезагрузки просканировал AVP TOOL в ручном режиме, затем просканировал утилитой AVZ (скрипты 3 и 2) и HijackThis согласно правилам. После удаления инфицированных файлов сбои в работе прекратились. Но в логах есть предупреждения о модификации запуска проводника и т. д. Возможно что-то ещё осталось? Нужна ли дополнительная чистка и восстановление системы или вирусы окончательно уничтожены? логи AVP TOOL, AVZ и HijackThis прилагаю. Надеюсь на быструю помощь. avptool_syscheck.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip avptool_syscheck.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Link to comment Share on other sites More sharing options...
edde Posted November 22, 2009 Report Share Posted November 22, 2009 Здравствуйте Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\207BE0\848327.EXE','');QuarantineFile('C:\WINDOWS\system32\755A~1.SCR','');DeleteFile('C:\WINDOWS\system32\207BE0\848327.EXE');DeleteFile('C:\WINDOWS\system32\755A~1.SCR');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(16);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файлы карантина отправьте на newvirus@kaspersky.com дождитесь ответа и сообщите результат Пофиксите в HJT строчки O4 - Startup: is-66GKF.lnk = ?O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\207BE0\848327.EXE Повторите логи Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Link to comment Share on other sites More sharing options...
sergey_09 Posted November 29, 2009 Author Report Share Posted November 29, 2009 Выполнил указанные скрипты, файлы карантина отправил на newvirus@kaspersky.com ещё 25 ноября, но до сих пор никакого ответа не получил. Есть ли смысл ждать ответа вообще? В HJT пофиксил указанные строки, просканировал ещё раз AVZ и RSIT, логи прилагаю. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
edde Posted November 29, 2009 Report Share Posted November 29, 2009 Здравствуйте. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Как самочувствие? Архив карантина отправьте на myedde<at>operamail.com с темой письма карантин. Link to comment Share on other sites More sharing options...
sergey_09 Posted November 30, 2009 Author Report Share Posted November 30, 2009 Добрый вечер. После того, как выполнил скрипты AVZ и пофиксил указанные строки в HJT больше не одного сбоя или сообщений о ошибках не было. Архив карантина AVZ отправил на указанный адрес. Просканировал Malwarebytes , текст лога прилагаю. Malwarebytes' Anti-Malware 1.41 Версия базы данных: 3263 Windows 5.1.2600 Service Pack 3 30.11.2009 23:40:30 mbam-log-2009-11-30 (23-40-30).txt Тип проверки: Полная (C:\|D:\|E:\|) Проверено объектов: 398540 Прошло времени: 48 minute(s), 47 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 1 Заражено значений реестра: 0 Заражено параметров реестра: 3 Заражено папок: 0 Заражено файлов: 6 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully. Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully. C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer) -> Quarantined and deleted successfully. C:\WINDOWS\innounp.exe (Malware.Packer) -> Quarantined and deleted successfully. D:\с флешки\IrfanView 4.10\russian\Russian.dll (Malware.Packer) -> Quarantined and deleted successfully. D:\с флешки\программы\новое\Учёт трафика (передаваемых данных)\BWMeter 2'6'1 RU\Crk\Crk.exe (Trojan.Downloader) -> Quarantined and deleted successfully. E:\game smoll\скачанные\kkrieger\kkrieger\pno0001.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully. Как я понял Malwarebytes обнаружил ещё какую-то заразу в системе и на дисках. Да, а что делать с файлами в карантине AVZ и Malwarebytes? Link to comment Share on other sites More sharing options...
edde Posted November 30, 2009 Report Share Posted November 30, 2009 Здравствуйте, повторите логи авз, проверьтесь онлайн http://www.eset.com/onlinescan/ если имеете такую возможность Link to comment Share on other sites More sharing options...
sergey_09 Posted December 2, 2009 Author Report Share Posted December 2, 2009 Добрый день. Сделал полную проверку онлайн на eset.com, сканер обнаружил много заражённых файлов. Я не стал их удалять и сейчас они в карантине. Прилагаю лог результатов работы сканера. Повторил скрипты AVZ, логи прилагаю. Странно, у меня был отключён автозапуск со сменных носителей, а сейчас опять сам по себе включился. eset.txt virusinfo_syscheck.zip virusinfo_syscure.zip eset.txt virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
edde Posted December 2, 2009 Report Share Posted December 2, 2009 Здравствуйте, в логах чисто как чувствуем себя? Если жалоб нет на этом можно и закончить, поаккуратнее с кряками, зло они :) . Link to comment Share on other sites More sharing options...
sergey_09 Posted December 3, 2009 Author Report Share Posted December 3, 2009 Добрый вечер. Огромное спасибо за помощь. Чувствуем себя в последнее время хорошо, сбоев и ошибок не было, жалоб нет, система работает стабильно. Наверное всё чисто. Единственное, что хотелось бы узнать - как поступить с файлами находящимися в карантине AVZ, Malwarebytes и сканера ESET. С кряками и другими файлами с дисков D и E понятно, все подозрительные и ненужные удалю, а вот как быть с файлами с системного диска, в часности с папки system 32 находящихся в карантине: оставить всё как есть, восстановить файлы так как они не опасны или удалить? Как лучше поступить, что вы посоветуете? Заранее спасибо :bye1: . Link to comment Share on other sites More sharing options...
edde Posted December 3, 2009 Report Share Posted December 3, 2009 (edited) sergey_09 Если у вас нет каких либо особых причин хранить карантин у себя на диске, просто удалите его из папки авз. Не болейте, будьте здоровы. :bye1: Edited December 3, 2009 by edde Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now