Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Упал рабочий стол и старые логи (заявка № 10768)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    35

    Exclamation Упал рабочий стол и старые логи

    Наконец на работе отдали комп на растерзание. Сразу с лету запустила Курит, что там поубивалось, затем первый скрипт АВЗ. ВСЕ... После этого пришлось срочно отбросить этот комп занятся другими.

    И вот я щас странной ситуации - Рабочий стол улетел,открывается сразу папка мои документы : - ( ) ... Восстановление стола не помогло.

    Вот что мне лучше сделать щас - Выслать старый лог (от 20го числа), ибо чтото упало в карантин, что то в инфектед...
    или - Начать с нуля? (но ведь вы не увидете что убилось и что попало в старые логи...)
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Зачем с нуля? После выполнения первого лога ничего не менялось, возможность запускать программы не пропала - значит доделывайте оставшиеся логи и прикрепляйте сюда.
    Можно и карантин сразу загрузить.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    35
    По твоему личному запросу, высылаю ЭТИ логи (правила читала).
    Жду

    Карантин выслан...
    Последний раз редактировалось totoshka; 12.07.2007 в 01:28.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить в Hijackthis:

    Код:
    F2 - REG:system.ini: Shell=
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
    O21 - SSODL: Shell - {CC4E4F6D-1C53-4B69-A08D-B8679566F414} - mswshell.dll (file missing)
    Думаю это восстановит раб. стол.
    Если не поможет , то AVZ - Восст. системы -- п.5,8 отметить - Выполнить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O9 - Extra button: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
    O9 - Extra 'Tools' menuitem: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
    O21 - SSODL: Shell - {CC4E4F6D-1C53-4B69-A08D-B8679566F414} - mswshell.dll (file missing)
    Перезагрузитесь.
    Поищите файл C:\WINDOWS\system3 через AVZ.
    Если найдется - пришлите по правилам.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    35
    Уже выполнила совет ПавлаА:


    Профиксить в Hijackthis:

    Код:
    F2 - REG:system.ini: Shell=
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)С
    O21 - SSODL: Shell - {CC4E4F6D-1C53-4B69-A08D-B8679566F414} - mswshell.dll (file missing)
    Стол восстановлен

    Добавлено через 34 минуты
    Bratez: Пофиксила . System3 на диске С нет.
    Последний раз редактировалось totoshka; 02.07.2007 в 18:31. Причина: Добавлено сообщение
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Тогда пофиксите еще
    Код:
    O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system3
    и наверно всё, я больше ничего подозрительного не вижу.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    35
    Теперь наверное, прогнать все правила?
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Да, чтобы сомнений не осталось.

  11. #10
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    35
    логи
    Последний раз редактировалось totoshka; 17.07.2007 в 18:29.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ClearHostsFile;
     DeleteFile('c:\documents and settings\all users\documents\settings\arm32.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    и вы выполняли рекомендации Bratez?
    если нет,то выполните.

  13. #12
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    35
    эээ... в этой теме вроде никто скриптов не давал... только советы пофиксить... так что выполню сейчас...
    Последний раз редактировалось totoshka; 03.07.2007 в 16:27.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вы это фиксили?
    Код:
    O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system3
    Оно опять в логах сияет. И про hosts я, каюсь, забыл.
    Выполните такой скрипт:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system3','');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки прикрепите в тему файл boot_clr.log из папки с AVZ.
    Если карантин будет не пустой - пришлите по правилам.
    Потом такой скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system3');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     ClearHostsFile;
     RebootWindows(true);
    end.
    и после перезагрузки логи еще раз.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    35
    свежие логи
    карантин выслан
    файл boot_clr.log из папки с AVZ не крепится, но он не большой - вот он:
    Quarantine path: \??\C:\Documents and Settings\sergei\Desktop\Свежак\AVZ\Quarantine\2007-07-03\
    QuarantineFile \??\C:\WINDOWS\system3 - failed (0xC0000034)
    QuarantineFile \??\C:\WINDOWS\system3 - failed (0xC0000034)
    -- End --
    После последнего скрипта, комп не показал рабочий стол, пришлось перегрузить еще раз. Последние логи делались уже с последним обновлением, и в карантин упал файл.
    Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Что ж такое, опять Hosts как будто и не чистили...
    Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    ClearHostsFile;
    BC_QrSvc('MySql');
    BC_QrSvc('TAPI_Server');
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам.
    I am not young enough to know everything...

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В Файл hosts кто-то гадит. Можно FileMon скачать и посмотреть.

    Чистый ХР в очередной раз - это круто. Есть ощущение, что он лицензионный. Неплохо бы хотя бы один SP накатить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    35
    Цитата Сообщение от Bratez Посмотреть сообщение
    Что ж такое, опять Hosts как будто и не чистили...
    Выполните скрипт:
    Пришлите карантин по правилам.
    Отправлен.
    Свежие логи приложены.

    СПАСИБО.

    В связи с тем, что что то там не вычищается, проверила 2мя еще программами, в надежде, что поможет:

    ---------------------------------------------------------
    Анализ программами AdAwareSe:
    Win32.Trojan.Delf Найден объект!
    Тип : Ключ регистра
    Дата :
    Категория : Malware
    Комментарий :
    Корн.ключ : HKEY_CLASSES_ROOT
    Объект : clsid\{21384d29-1240-2d4f-a15c-17e42823d523}

    Win32.TrojanSpy.BZub Найден объект!
    Тип : Ключ регистра
    Дата :
    Категория : Monitoring Tool
    Комментарий :
    Корн.ключ : HKEY_CLASSES_ROOT
    Объект : appid\{21384d29-1240-2d4f-a15c-17e42823d523}
    ---------------------------------------------------------------------------------------

    Анализ программы SpyBot Search And Destroy
    Cimuz: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control

    GEZBill.Fake: Класс ID (Ключ реестра, nothing done) HKEY_CLASSES_ROOT\CLSID\{21384D29-1240-2d4f-A15C-17E42823D523}
    Microsoft.Windows.IEFirewallBypass: Настройки (Значение
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List\C:\Program
    t Explorer\IEXPLORE.EXE
    Microsoft.Windows.IEFirewallBypass: Настройки (Значение
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List\C:\Program
    t Explorer\IEXPLORE.EXE
    Microsoft.Windows.Security.InternetExplorer: Настройки (Изменение
    HKEY_USERS\S-1-5-21-1229272821-1708537768-725345543-1003\Software\Microsoft\Internet
    N\iexplore.exe!=W=1
    TelekomBill.Fake: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control
    TelekomBill.Fake: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control
    Win32.ProAgent.21: Настройки удалителя (Ключ реестра,
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\&RQ
    Win32.RAdmin.Zenworks: Библиотеки (Файл, nothing done) C:\WINDOWS\system32\raddrv.dll


    Добавлено через 13 минут
    Цитата Сообщение от PavelA Посмотреть сообщение
    В Файл hosts кто-то гадит. Можно FileMon скачать и посмотреть.
    Скачала, что и как смотреть?

    Цитата Сообщение от PavelA Посмотреть сообщение
    Чистый ХР в очередной раз - это круто. Есть ощущение, что он лицензионный. Неплохо бы хотя бы один SP накатить.
    Да с работы комп, постоянно работали, не подлезть было...
    Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В логах ничего не наблюдаю. Грустно как-то становится.
    То, что пишет Adware, можно прочистить, но основного не видно.

    Пишу про FileMon.
    1. Чистим файл Hosts.
    Можно через Avz
    Код:
    begin 
    ClearHostsFile;
    end.
    2.Запускаем FileMon. Меню Volumes - оставляем галочку только на диске С
    3.Далее Options - filter - в первой строчке hosts.
    Пробуем запустить IE, какие-либо другие программы
    4. Смотрим, кто туда пишет. Если находим, меню File -- Save -- лог присылаем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    35
    Цитата Сообщение от PavelA Посмотреть сообщение
    4. Смотрим, кто туда пишет.
    ээээ... более поподробней тут можно
    Какойто определенный путь надо увидеть?
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    в колонке Request,если появятся записи WRITE то сохраните лог.

  • Уважаемый(ая) totoshka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 25.01.2011, 03:28
    2. Исчез Рабочий стол
      От kerio в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.01.2010, 21:01
    3. рабочий стол
      От светоч в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.01.2010, 01:18
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 07:08
    5. Старые и очень старые компьютеры
      От PavelA в разделе Оффтоп
      Ответов: 25
      Последнее сообщение: 12.12.2007, 12:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01543 seconds with 21 queries