20.10.2010, 13:12 | #1 (ссылка) |
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
mkdrv.sys
Здравствуйте!
Помогите побороть вирус, а то я с ним никак не могу справиться! Все началось с того, что ПК сам стал периодически перезагружаться. Одновременно с этим заблокировался доступ к мэйл.ру. Перезагружался комп в основном при запуске outlook, а также и сам по себе при бездействии меня... Перед перезагрузкой вылетал синий экран про mkdrv.sys. Порыскав в интернете понял, что это какой-то вирус, скачал AVZ, пробовал запускать различные скрипты, вроде помогло. После чего создал новую БД в outlook и все в течение месяца работало. Сейчас опять таже проблема возникла, видимо не долечил. Сегодня опять запустил пару скриптов, вычитанных на различных форумах. В итоге комп не перезагружается, если outlook не трогать, но как только uotlook запускаю, тут же все падает... |
20.10.2010, 13:31 | #2 (ссылка) |
Мастер
|
RUS_NF, выполнять чужие скрипты чревато осложнениями. Выложите логи по правилам.
|
20.10.2010, 14:36 | #3 (ссылка) |
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
я думал, что это некие универсальные скрипты...
Вот выложил лог из АВЗ: http://webfile.ru/4829833 , ща попробую проделать манипуляции с Hijackthis... ---------- Добавлено в 13:36 ---------- Предыдущее сообщение было написано в 13:29 ---------- Вот лог из hijackthis: http://webfile.ru/4829869 |
20.10.2010, 14:54 | #4 (ссылка) |
Стажёр
|
Отключите ПК от интернета/локалки
Отключите антивирус/фаервол Отключите восстановление системы Выполните в AVZ скрипт: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('mkdrv'); SetServiceStart('mkdrv', 4); DeleteService('mkdrv'); QuarantineFile('\??\C:\WINDOWS\mkdrv.sys',''); QuarantineFile('C:\WINDOWS\mkdrv.sys',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Evof\ozul.exe',''); DeleteFile('C:\WINDOWS\mkdrv.sys'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Evof\ozul.exe'); DeleteFile('\??\C:\WINDOWS\mkdrv.sys'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{A17577A4-AEAE-D782-2A0E-CF7822E025B2}'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); ExecuteRepair(1); BC_Activate; RebootWindows(true); end. Установите SP3(может потребоваться активация)+все последующие обновления. Выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip. |
20.10.2010, 15:09 | #5 (ссылка) |
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
к сожалению, отключить антивирус не смогу, т.к. пк в рабочей локальной сети и я не властен выполнить такие манипуляции. То же самое касается SP3. У нас стоит касперский в корпоративной сети, но он не помогает видимо, админы наши тоже бездействуют, т.к. комп им носил уже, но улучшений не заметил, вот и сам начал пробовать бороться... Без этих действий скрипт можно выполнить?
|
20.10.2010, 15:55 | #8 (ссылка) |
Мастер
|
В Hosts эти записи сами внесли?
Код:
85.234.190.95 www.telebank.ru 85.234.190.98 www.click.alfabank.ru 85.234.190.95 telebank.ru 85.234.190.98 click.alfabank.ru 85.234.190.98 alfabank.ru 85.234.190.98 www.alfabank.ru 85.234.190.95 www.telebank.ru 85.234.190.98 www.click.alfabank.ru 85.234.190.95 telebank.ru 85.234.190.98 click.alfabank.ru 85.234.190.98 alfabank.ru 85.234.190.98 www.alfabank.ru |
Ads | |
20.10.2010, 16:12 | #9 (ссылка) |
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
нет я хостс полностью удалял. Но прежде чем это сделать сравнивал его на каком-то форуме с оригиналом, он был не подпорченный тогда, но я его на всякий случай удалил все равно. Ща что мне делать с этим хостсом? Сейчас проблем не наблюдается, т.к. я uotlook не запускал после лечения. Значит надо хостс подправить и пробовать запускать почту?
|
20.10.2010, 17:52 | #11 (ссылка) |
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
вообще у нас в компании ситибанком пользутся...
ладно, буду outlook запускать пробовать ---------- Добавлено в 16:52 ---------- Предыдущее сообщение было написано в 15:54 ---------- Вроде все работает. Большое Вам спасибо за помощь!!! |
26.10.2010, 12:41 | #13 (ссылка) |
Стажёр
|
Выполните в AVZ скрипт:
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('mkdrv'); SetServiceStart('mkdrv', 4); DeleteService('mkdrv'); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Ywybg\oxxo.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Ywybg\oxxo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{A17577A4-AEAE-D782-2A0E-CF7822E025B2}'); BC_ImportAll; BC_DeleteFile('C:\WINDOWS\mkdrv.sys'); BC_DeleteSvc('mkdrv'); ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. И сделайте еще вот такой лог: http://pchelpforum.ru/showpost.php?p=206554&postcount=5 Либо из-за дырок в системе (потому что SP2 стоит) ловите зверье, либо что-то серьезное засело. Будем разбираться. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|