Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Упал рабочий стол и старые логи (заявка № 10768)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    62

    Exclamation Упал рабочий стол и старые логи

    Наконец на работе отдали комп на растерзание. Сразу с лету запустила Курит, что там поубивалось, затем первый скрипт АВЗ. ВСЕ... После этого пришлось срочно отбросить этот комп занятся другими.

    И вот я щас странной ситуации - Рабочий стол улетел,открывается сразу папка мои документы : - ( ) ... Восстановление стола не помогло.

    Вот что мне лучше сделать щас - Выслать старый лог (от 20го числа), ибо чтото упало в карантин, что то в инфектед...
    или - Начать с нуля? (но ведь вы не увидете что убилось и что попало в старые логи...)
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Зачем с нуля? После выполнения первого лога ничего не менялось, возможность запускать программы не пропала - значит доделывайте оставшиеся логи и прикрепляйте сюда.
    Можно и карантин сразу загрузить.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    62
    По твоему личному запросу, высылаю ЭТИ логи (правила читала).
    Жду

    Карантин выслан...
    Последний раз редактировалось totoshka; 12.07.2007 в 01:28.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить в Hijackthis:

    Код:
    F2 - REG:system.ini: Shell=
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
    O21 - SSODL: Shell - {CC4E4F6D-1C53-4B69-A08D-B8679566F414} - mswshell.dll (file missing)
    Думаю это восстановит раб. стол.
    Если не поможет , то AVZ - Восст. системы -- п.5,8 отметить - Выполнить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O9 - Extra button: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
    O9 - Extra 'Tools' menuitem: Vegas Red Casino - {D5AE2D6D-38A7-425c-86C0-E4ABBDB9EC68} - C:\Casino\Vegas Red Casino\casino.exe (file missing)
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
    O21 - SSODL: Shell - {CC4E4F6D-1C53-4B69-A08D-B8679566F414} - mswshell.dll (file missing)
    Перезагрузитесь.
    Поищите файл C:\WINDOWS\system3 через AVZ.
    Если найдется - пришлите по правилам.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    62
    Уже выполнила совет ПавлаА:


    Профиксить в Hijackthis:

    Код:
    F2 - REG:system.ini: Shell=
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)С
    O21 - SSODL: Shell - {CC4E4F6D-1C53-4B69-A08D-B8679566F414} - mswshell.dll (file missing)
    Стол восстановлен

    Добавлено через 34 минуты
    Bratez: Пофиксила . System3 на диске С нет.
    Последний раз редактировалось totoshka; 02.07.2007 в 18:31. Причина: Добавлено сообщение
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Тогда пофиксите еще
    Код:
    O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system3
    и наверно всё, я больше ничего подозрительного не вижу.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    62
    Теперь наверное, прогнать все правила?
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Да, чтобы сомнений не осталось.

  11. #10
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    62
    логи
    Последний раз редактировалось totoshka; 17.07.2007 в 18:29.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ClearHostsFile;
     DeleteFile('c:\documents and settings\all users\documents\settings\arm32.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    и вы выполняли рекомендации Bratez?
    если нет,то выполните.

  13. #12
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    62
    эээ... в этой теме вроде никто скриптов не давал... только советы пофиксить... так что выполню сейчас...
    Последний раз редактировалось totoshka; 03.07.2007 в 16:27.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вы это фиксили?
    Код:
    O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system3
    Оно опять в логах сияет. И про hosts я, каюсь, забыл.
    Выполните такой скрипт:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system3','');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки прикрепите в тему файл boot_clr.log из папки с AVZ.
    Если карантин будет не пустой - пришлите по правилам.
    Потом такой скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system3');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     ClearHostsFile;
     RebootWindows(true);
    end.
    и после перезагрузки логи еще раз.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    62
    свежие логи
    карантин выслан
    файл boot_clr.log из папки с AVZ не крепится, но он не большой - вот он:
    Quarantine path: \??\C:\Documents and Settings\sergei\Desktop\Свежак\AVZ\Quarantine\2007-07-03\
    QuarantineFile \??\C:\WINDOWS\system3 - failed (0xC0000034)
    QuarantineFile \??\C:\WINDOWS\system3 - failed (0xC0000034)
    -- End --
    После последнего скрипта, комп не показал рабочий стол, пришлось перегрузить еще раз. Последние логи делались уже с последним обновлением, и в карантин упал файл.
    Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Что ж такое, опять Hosts как будто и не чистили...
    Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    ClearHostsFile;
    BC_QrSvc('MySql');
    BC_QrSvc('TAPI_Server');
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам.
    I am not young enough to know everything...

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В Файл hosts кто-то гадит. Можно FileMon скачать и посмотреть.

    Чистый ХР в очередной раз - это круто. Есть ощущение, что он лицензионный. Неплохо бы хотя бы один SP накатить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    Что ж такое, опять Hosts как будто и не чистили...
    Выполните скрипт:
    Пришлите карантин по правилам.
    Отправлен.
    Свежие логи приложены.

    СПАСИБО.

    В связи с тем, что что то там не вычищается, проверила 2мя еще программами, в надежде, что поможет:

    ---------------------------------------------------------
    Анализ программами AdAwareSe:
    Win32.Trojan.Delf Найден объект!
    Тип : Ключ регистра
    Дата :
    Категория : Malware
    Комментарий :
    Корн.ключ : HKEY_CLASSES_ROOT
    Объект : clsid\{21384d29-1240-2d4f-a15c-17e42823d523}

    Win32.TrojanSpy.BZub Найден объект!
    Тип : Ключ регистра
    Дата :
    Категория : Monitoring Tool
    Комментарий :
    Корн.ключ : HKEY_CLASSES_ROOT
    Объект : appid\{21384d29-1240-2d4f-a15c-17e42823d523}
    ---------------------------------------------------------------------------------------

    Анализ программы SpyBot Search And Destroy
    Cimuz: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control

    GEZBill.Fake: Класс ID (Ключ реестра, nothing done) HKEY_CLASSES_ROOT\CLSID\{21384D29-1240-2d4f-A15C-17E42823D523}
    Microsoft.Windows.IEFirewallBypass: Настройки (Значение
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List\C:\Program
    t Explorer\IEXPLORE.EXE
    Microsoft.Windows.IEFirewallBypass: Настройки (Значение
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List\C:\Program
    t Explorer\IEXPLORE.EXE
    Microsoft.Windows.Security.InternetExplorer: Настройки (Изменение
    HKEY_USERS\S-1-5-21-1229272821-1708537768-725345543-1003\Software\Microsoft\Internet
    N\iexplore.exe!=W=1
    TelekomBill.Fake: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control
    TelekomBill.Fake: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control
    Win32.ProAgent.21: Настройки удалителя (Ключ реестра,
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\&RQ
    Win32.RAdmin.Zenworks: Библиотеки (Файл, nothing done) C:\WINDOWS\system32\raddrv.dll


    Добавлено через 13 минут
    Цитата Сообщение от PavelA Посмотреть сообщение
    В Файл hosts кто-то гадит. Можно FileMon скачать и посмотреть.
    Скачала, что и как смотреть?

    Цитата Сообщение от PavelA Посмотреть сообщение
    Чистый ХР в очередной раз - это круто. Есть ощущение, что он лицензионный. Неплохо бы хотя бы один SP накатить.
    Да с работы комп, постоянно работали, не подлезть было...
    Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В логах ничего не наблюдаю. Грустно как-то становится.
    То, что пишет Adware, можно прочистить, но основного не видно.

    Пишу про FileMon.
    1. Чистим файл Hosts.
    Можно через Avz
    Код:
    begin 
    ClearHostsFile;
    end.
    2.Запускаем FileMon. Меню Volumes - оставляем галочку только на диске С
    3.Далее Options - filter - в первой строчке hosts.
    Пробуем запустить IE, какие-либо другие программы
    4. Смотрим, кто туда пишет. Если находим, меню File -- Save -- лог присылаем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    4. Смотрим, кто туда пишет.
    ээээ... более поподробней тут можно
    Какойто определенный путь надо увидеть?
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    в колонке Request,если появятся записи WRITE то сохраните лог.

  • Уважаемый(ая) totoshka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 25.01.2011, 03:28
    2. Исчез Рабочий стол
      От kerio в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.01.2010, 21:01
    3. рабочий стол
      От светоч в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.01.2010, 01:18
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 07:08
    5. Старые и очень старые компьютеры
      От PavelA в разделе Оффтоп
      Ответов: 25
      Последнее сообщение: 12.12.2007, 12:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00505 seconds with 19 queries