 |
|
|
20.10.2010, 13:12
|
#1 (ссылка) |
|
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
mkdrv.sys
Здравствуйте!
Помогите побороть вирус, а то я с ним никак не могу справиться! Все началось с того, что ПК сам стал периодически перезагружаться. Одновременно с этим заблокировался доступ к мэйл.ру. Перезагружался комп в основном при запуске outlook, а также и сам по себе при бездействии меня... Перед перезагрузкой вылетал синий экран про mkdrv.sys. Порыскав в интернете понял, что это какой-то вирус, скачал AVZ, пробовал запускать различные скрипты, вроде помогло. После чего создал новую БД в outlook и все в течение месяца работало. Сейчас опять таже проблема возникла, видимо не долечил. Сегодня опять запустил пару скриптов, вычитанных на различных форумах. В итоге комп не перезагружается, если outlook не трогать, но как только uotlook запускаю, тут же все падает... |
|
|
20.10.2010, 13:31
|
#2 (ссылка) |
|
Мастер
|
RUS_NF, выполнять чужие скрипты чревато осложнениями. Выложите логи по правилам.
|
|
|
|
20.10.2010, 14:36
|
#3 (ссылка) |
|
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
я думал, что это некие универсальные скрипты...
Вот выложил лог из АВЗ: http://webfile.ru/4829833 , ща попробую проделать манипуляции с Hijackthis... ---------- Добавлено в 13:36 ---------- Предыдущее сообщение было написано в 13:29 ---------- Вот лог из hijackthis: http://webfile.ru/4829869 |
|
|
|
20.10.2010, 14:54
|
#4 (ссылка) |
|
Стажёр
|
Отключите ПК от интернета/локалки
Отключите антивирус/фаервол Отключите восстановление системы Выполните в AVZ скрипт: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('mkdrv');
SetServiceStart('mkdrv', 4);
DeleteService('mkdrv');
QuarantineFile('\??\C:\WINDOWS\mkdrv.sys','');
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Evof\ozul.exe','');
DeleteFile('C:\WINDOWS\mkdrv.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Evof\ozul.exe');
DeleteFile('\??\C:\WINDOWS\mkdrv.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{A17577A4-AEAE-D782-2A0E-CF7822E025B2}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Установите SP3(может потребоваться активация)+все последующие обновления. Выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip. |
|
|
|
20.10.2010, 15:09
|
#5 (ссылка) |
|
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
к сожалению, отключить антивирус не смогу, т.к. пк в рабочей локальной сети и я не властен выполнить такие манипуляции. То же самое касается SP3. У нас стоит касперский в корпоративной сети, но он не помогает видимо, админы наши тоже бездействуют, т.к. комп им носил уже, но улучшений не заметил, вот и сам начал пробовать бороться... Без этих действий скрипт можно выполнить?
|
|
|
|
20.10.2010, 15:55
|
#8 (ссылка) |
|
Мастер
|
В Hosts эти записи сами внесли?
Код:
85.234.190.95 www.telebank.ru 85.234.190.98 www.click.alfabank.ru 85.234.190.95 telebank.ru 85.234.190.98 click.alfabank.ru 85.234.190.98 alfabank.ru 85.234.190.98 www.alfabank.ru 85.234.190.95 www.telebank.ru 85.234.190.98 www.click.alfabank.ru 85.234.190.95 telebank.ru 85.234.190.98 click.alfabank.ru 85.234.190.98 alfabank.ru 85.234.190.98 www.alfabank.ru |
|
|
| Ads | |
|
20.10.2010, 16:12
|
#9 (ссылка) |
|
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
нет я хостс полностью удалял. Но прежде чем это сделать сравнивал его на каком-то форуме с оригиналом, он был не подпорченный тогда, но я его на всякий случай удалил все равно. Ща что мне делать с этим хостсом? Сейчас проблем не наблюдается, т.к. я uotlook не запускал после лечения. Значит надо хостс подправить и пробовать запускать почту?
|
|
|
|
20.10.2010, 17:52
|
#11 (ссылка) |
|
Новичок
Регистрация: 20.10.2010
Сообщений: 21
Репутация: 0
|
вообще у нас в компании ситибанком пользутся...
ладно, буду outlook запускать пробовать ---------- Добавлено в 16:52 ---------- Предыдущее сообщение было написано в 15:54 ---------- Вроде все работает. Большое Вам спасибо за помощь!!! |
|
|
|
26.10.2010, 12:41
|
#13 (ссылка) |
|
Стажёр
|
Выполните в AVZ скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('mkdrv');
SetServiceStart('mkdrv', 4);
DeleteService('mkdrv');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Ywybg\oxxo.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Ywybg\oxxo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{A17577A4-AEAE-D782-2A0E-CF7822E025B2}');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\mkdrv.sys');
BC_DeleteSvc('mkdrv');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
И сделайте еще вот такой лог: http://pchelpforum.ru/showpost.php?p=206554&postcount=5 Либо из-за дырок в системе (потому что SP2 стоит) ловите зверье, либо что-то серьезное засело. Будем разбираться. |
|
|
|
26.10.2010, 15:23
|
#14 (ссылка) | |
|
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Цитата:
 Ну и SP2 тоже влияет |
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
