на рабочей станции под windows-xp-SP2 пользователь поймал вирус. В результате перестал запускаться Drweb 4.44, при запуске сканера система вылетала с синим экраном смерти, где писалось про проблему в каком-нибудь файле с расширением sys (имя файла каждый раз разное - примерно такого вида: 0gb0m10f.sys, e6kXYame.sys, файлов с таким именем в системе нет), попытка пролечить систему утилитой cureit не принесла успеха, при запуске cureit происходило то же самое - синий экран и жалоба на очередной файл sys, переименование файла запуска тоже не помогло. Сканирование HDD с другой машины обновленным Drweb версии 5.0 выявило кучу руткитов и несколько троянчиков. Все они успешно были удалены. При возвращении HDD на родную машину проблема с запуском сканера осталась, те же симптомы что и до лечения, попытка переустановить версию 4.44 на 5,0 закончилась синим экраном в момент попытки запустить сканирование в момент установки. В реестре секция run во всех ветках вычещена, сканирование HDD на чистых машинах ничего не выявляет. Прошу помощи, т.к. банально не знаю в каком направлении дальше двигаться. http://forum.drweb.com/public/style_emoticons/default/blink.png
Не запускается сканер Drweb
Автор
alessio.eburg
, авг 05 2009 11:25
30 ответов в этой теме
#3
alessio.eburg
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 05 Август 2009 - 11:31
Делайте логи какие сможете. CureIt сейчас тоже синий экран вызывает?
СureIt тоже синий экран вызывает, причем в безопасном режиме тоже.
Логи чего делать?
Минидамп загрузил сюда. расширение заменено с dmp на txt.
Прикрепленные файлы:
-
Mini080409_13.txt 88К
64 Скачано раз
Сообщение было изменено alessio.eburg: 05 Август 2009 - 11:38
#4
pig
-
- Helpers
- 10 856 Сообщений:
Бредогенератор
#5
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 05 Август 2009 - 11:57
Озвучьте их имена, пожалуйста.Сканирование HDD с другой машины обновленным Drweb версии 5.0 выявило кучу руткитов и несколько троянчиков. Все они успешно были удалены.
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#6
alessio.eburg
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 05 Август 2009 - 12:01
Это не помогло, т.к. Хайджек тоже не запускается, просто молчок после запуска и никакой процесс даже в диспечере не запускается.
#7
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 05 Август 2009 - 12:05
Пуск 0Выполнить
Это не помогло, т.к. Хайджек тоже не запускается, просто молчок после запуска и никакой процесс даже в диспечере не запускается.
вставить строчку
reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" c:\1.reg
Ок...
Файл 1.reg приложить на форуме
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#8
alessio.eburg
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 05 Август 2009 - 12:08
Озвучьте их имена, пожалуйста.Сканирование HDD с другой машины обновленным Drweb версии 5.0 выявило кучу руткитов и несколько троянчиков. Все они успешно были удалены.
Имена я не записал, но имена нт.руткит и номер, было 3-4 разновидности. В основном все сидело в каталоге службы восстановления системы, и в системном каталоге и подкаталогах.
#9
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 05 Август 2009 - 12:10
Сканирование с другой машины=лог на другой машинеОзвучьте их имена, пожалуйста.Сканирование HDD с другой машины обновленным Drweb версии 5.0 выявило кучу руткитов и несколько троянчиков. Все они успешно были удалены.
Имена я не записал, но имена нт.руткит и номер, было 3-4 разновидности. В основном все сидело в каталоге службы восстановления системы, и в системном каталоге и подкаталогах.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#10
alessio.eburg
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 05 Август 2009 - 12:17
Пуск 0Выполнить
Это не помогло, т.к. Хайджек тоже не запускается, просто молчок после запуска и никакой процесс даже в диспечере не запускается.
вставить строчку
reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" c:\1.reg
Ок...
Файл 1.reg приложить на форуме
прикрепил файл. расширение reg заменено на txt
Прикрепленные файлы:
-
1.txt 93,52К
45 Скачано раз
#11
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 05 Август 2009 - 12:20
Пуск 0Выполнить
Это не помогло, т.к. Хайджек тоже не запускается, просто молчок после запуска и никакой процесс даже в диспечере не запускается.
вставить строчку
reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" c:\1.reg
Ок...
Файл 1.reg приложить на форуме
прикрепил файл. расширение reg заменено на txt
Да-да
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRWEB32.EXE]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebupw.exe]
MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe]
"Debugger"="ntsd -d"
-------------
Пуск-Выполнить...
Вставить строку
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /va
OK
Запустить приложенный файл
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#12
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 05 Август 2009 - 12:28
На Шилд похоже:Минидамп загрузил сюда. расширение заменено с dmp на txt.
0: kd> lmvm C2DbU2Fq
start end module name
a9d05000 a9d31c80 C2DbU2Fq T (no symbols)
Loaded symbol image file: C2DbU2Fq.sys
Image path: C2DbU2Fq.sys
Image name: C2DbU2Fq.sys
Timestamp: Thu Jun 25 07:55:14 2009 (4A430332)
CheckSum: 00034D51
ImageSize: 0002CC80
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#13
alessio.eburg
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 05 Август 2009 - 12:43
Пуск-Выполнить...
Вставить строку
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /va
OK
Запустить приложенный файл
Все выполнил, хайджек запустился, вот его лог
На Шилд похоже:Минидамп загрузил сюда. расширение заменено с dmp на txt.
0: kd> lmvm C2DbU2Fq
start end module name
a9d05000 a9d31c80 C2DbU2Fq T (no symbols)
Loaded symbol image file: C2DbU2Fq.sys
Image path: C2DbU2Fq.sys
Image name: C2DbU2Fq.sys
Timestamp: Thu Jun 25 07:55:14 2009 (4A430332)
CheckSum: 00034D51
ImageSize: 0002CC80
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0
Это хорошо или плохо? http://forum.drweb.com/public/style_emoticons/default/smile.png
Прикрепленные файлы:
-
hijackthis.log 5,66К
48 Скачано раз
#14
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 05 Август 2009 - 12:47
O20 - AppInit_DLLs: cru629.dat
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#15
alessio.eburg
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 05 Август 2009 - 12:59
O20 - AppInit_DLLs: cru629.dat
Пофиксил, но результата не дало. По прежнему при запуске сканера синий экран.
#16
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 05 Август 2009 - 13:11
Запись в Хайджеке осталась?Пофиксил, но результата не дало. По прежнему при запуске сканера синий экран.O20 - AppInit_DLLs: cru629.dat
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#17
alessio.eburg
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 05 Август 2009 - 13:14
Запись в Хайджеке осталась?Пофиксил, но результата не дало. По прежнему при запуске сканера синий экран.O20 - AppInit_DLLs: cru629.dat
Запись изчезла, при повторных сканированиях не появляется
#18
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 05 Август 2009 - 13:48
РкУ запустить можете?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#19
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 05 Август 2009 - 13:53
alessio.eburg
Нужен дамп памяти ядра при падении cureit и системы в безопасном режиме - см http://wiki.drweb.com/index.php/BSOD . Выложите дамп памяти ядра в архиве в Инет и дайте мне в ПМ ссылку
Пожалуйста, подробно (производитель, модель) расскажите какие жёсткие диски, в каком режиме стоят на компьютере. USB HDD есть?
Нужен дамп памяти ядра при падении cureit и системы в безопасном режиме - см http://wiki.drweb.com/index.php/BSOD . Выложите дамп памяти ядра в архиве в Инет и дайте мне в ПМ ссылку
Пожалуйста, подробно (производитель, модель) расскажите какие жёсткие диски, в каком режиме стоят на компьютере. USB HDD есть?
#20
alessio.eburg
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 05 Август 2009 - 13:59
РкУ запустить можете?
РКУ не запускается - вылетает синий экран смерти.
Минидамп прилагаю, расширение dmp заменено на txt
Прикрепленные файлы:
-
Mini080509_06.txt 88К
39 Скачано раз
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
