Показано с 1 по 20 из 20.

Пропала сеть, изменилась кнопка Пуск, не работает буфео обмена (заявка № 12312)

  1. #1
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34

    Thumbs up Пропала сеть, изменилась кнопка Пуск, не работает буфео обмена

    Симптомы следующие: изменился дизайн кнопки Пуск, в панели задач не отображаются открытые окна. Исчезли сетевые подключения. Не работает буфер обмена.
    Symantec находит Trojan Horse. KAV 5.xx обнаруживает файл msdnc6.exe, удаляет, после перезагрузки файл появляется.
    Последний раз редактировалось baobab75; 21.08.2008 в 13:50.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\explorer.exe','');
     QuarantineFile('C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe','');
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил.

    Сделайте лог HijackThis.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34

    дополнение:

    восстановление системы отключить не могу: "ошибка восстановления системы при включении/отключении ..." предлагает перегрузить и попробывать еще.

    А.. Есть еще вторая машина, которая имеет те же симптомы. Юзер в отпуске. Машина включена. Симптомы возникли только сегодня утром..
    добавляю 2 лога:
    Последний раз редактировалось baobab75; 21.08.2008 в 13:50.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    другая машина- другая тема и другие логи
    логи должны быть сделаны из нормального режима, и обновить базы авз перед исследованием нужно.
    перечитайте правила.
    2 пункт я бы ещё сделал .

  6. #5
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34
    файл отправил через кнопку "прислать запрошенные файлы". Получилось?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    explorer.exe под подозрением, отправлен в ЛК.

    C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe
    в карантин не попал - поищите его вручную (через AVZ).

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe,
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    Больше ничего плохого не вижу.
    I am not young enough to know everything...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    C:\WINDOWS\system32\DefLib.sys - хвостик болтается в реестре.
    Зачистим:
    Код:
    begin
     setAVZGuardStatus(true);                                                
     DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     BC_ImportDeletedList;
     BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    Последний раз редактировалось PavelA; 10.09.2007 в 16:16.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34
    Цитата Сообщение от Bratez Посмотреть сообщение
    explorer.exe под подозрением, отправлен в ЛК.

    C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe
    в карантин не попал - поищите его вручную (через AVZ).

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe,
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    Больше ничего плохого не вижу.
    файл не нашел . пофиксил

    Добавлено через 19 минут

    Цитата Сообщение от PavelA Посмотреть сообщение
    C:\WINDOWS\system32\DefLib.sys - хвостик болтается в реестре.
    Зачистим:
    [code]begin
    setAVZGuardStatus(true);
    DeleteFile('C:\WINDOWS\system32\DefLib.sys');
    BC_ImportDeletedList;
    BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    зачистил. обновил базы (предыдущие были от 02.09). запустил скрипт №3 "лечениея/карантина и сбора информации" жду результата. логи добавлю
    Последний раз редактировалось baobab75; 10.09.2007 в 15:27. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34
    пока без изменений. все вышеназваные симптомы остались
    Последний раз редактировалось baobab75; 21.08.2008 в 13:50.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Проверьте, работают ли службы "Удаленный вызов процедур" и "Рабочая станция".
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34
    удаленный вызов процедур не работает. при двойном щелчке или правая кнопка\свойства ничего не происходит (так же как и в других оснастках mmc). Запустить службу нельзя. Пишет что то ..помечена на удаление...
    Службы рабочая станция вообще нет. Служб в списке зрительно - третья часть, запущеных - штук 7

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Скачайте на другом компьютере свежий CureIt, запишите его на CD и проверьте свой, запуская программу прямо с CD. Проверку сделать полную, а не только экспресс. Потом видимо придется переустановить Windows поверх вашей восстановлением.

    Добавлено через 41 минуту

    Пришел ответ насчет explorer.exe - вредоносный код не обнаружен.
    Последний раз редактировалось Bratez; 10.09.2007 в 18:04. Причина: Добавлено
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34
    виндовс переустановил поверх. нужно было до утра запустить комп. НО...
    есть еще один с такими же симптомами, хозяин которого еще неделю в отпуске. Продолжу завтра на нем. Может будут напутствия?

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Может будут напутствия?
    Логи с того компа - в отдельную тему, будем смотреть.
    Скрипты из этой темы там не применяйте.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34
    подскажите, после переустановки поверх Windows комп ожил, однако не удается запустить службу Сервер и, соответственно Обозреватель компьютеров. При попытке запустить службу Сервер вручную выдает:

    "не удалось запустить службу Сервер ошибка 87 параметр задан не верно"

    Добавлено через 16 минут

    в журнале просмотр событий\система есть запись в момент старта службы при включении компа:
    "В реестре отсутствует запись LanmanServer\Linkage"

    что можно поправить?
    Последний раз редактировалось baobab75; 12.09.2007 в 16:37. Причина: Добавлено

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Экспортируйте в regedit'e ключ реестра
    HKLM\System\CurrentControlSet\ Services\LanmanServer
    Полученный reg-файл заархивируйте и прикрепите сюда.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34
    закачал. раздела Linkage там действительно нет

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Скопируйте код в текстовый файл с расширением .reg и импортируйте в реестр (двойной клик по файлу):
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Linkage]
    "Bind"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,65,00,74,\
      00,62,00,69,00,6f,00,73,00,53,00,6d,00,62,00,00,00,5c,00,44,00,65,00,76,00,\
      69,00,63,00,65,00,5c,00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,00,63,00,70,\
      00,69,00,70,00,5f,00,7b,00,31,00,43,00,32,00,31,00,45,00,43,00,30,00,45,00,\
      2d,00,38,00,33,00,43,00,44,00,2d,00,34,00,35,00,31,00,41,00,2d,00,41,00,42,\
      00,41,00,31,00,2d,00,43,00,36,00,33,00,31,00,39,00,38,00,34,00,46,00,32,00,\
      30,00,38,00,34,00,7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,\
      00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,00,63,00,70,00,69,00,70,00,5f,00,\
      7b,00,39,00,34,00,43,00,38,00,35,00,35,00,31,00,43,00,2d,00,32,00,33,00,46,\
      00,43,00,2d,00,34,00,41,00,41,00,45,00,2d,00,42,00,41,00,42,00,31,00,2d,00,\
      34,00,37,00,45,00,41,00,38,00,32,00,32,00,37,00,43,00,37,00,37,00,33,00,7d,\
      00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,65,00,74,00,\
      42,00,54,00,5f,00,54,00,63,00,70,00,69,00,70,00,5f,00,7b,00,31,00,45,00,42,\
      00,34,00,44,00,37,00,37,00,42,00,2d,00,41,00,38,00,43,00,36,00,2d,00,34,00,\
      41,00,44,00,34,00,2d,00,42,00,43,00,36,00,42,00,2d,00,35,00,42,00,45,00,33,\
      00,42,00,31,00,34,00,33,00,35,00,46,00,44,00,37,00,7d,00,00,00,5c,00,44,00,\
      65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,\
      00,63,00,70,00,69,00,70,00,5f,00,7b,00,32,00,45,00,33,00,45,00,39,00,44,00,\
      37,00,45,00,2d,00,34,00,33,00,45,00,31,00,2d,00,34,00,33,00,31,00,32,00,2d,\
      00,39,00,39,00,42,00,32,00,2d,00,44,00,33,00,32,00,44,00,44,00,46,00,44,00,\
      44,00,30,00,34,00,41,00,44,00,7d,00,00,00,00,00
    "Route"=hex(7):22,00,4e,00,65,00,74,00,62,00,69,00,6f,00,73,00,53,00,6d,00,62,\
      00,22,00,00,00,22,00,4e,00,65,00,74,00,42,00,54,00,22,00,20,00,22,00,54,00,\
      63,00,70,00,69,00,70,00,22,00,20,00,22,00,4e,00,64,00,69,00,73,00,57,00,61,\
      00,6e,00,49,00,70,00,22,00,00,00,00,00
    "Export"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4c,00,61,00,6e,\
      00,6d,00,61,00,6e,00,53,00,65,00,72,00,76,00,65,00,72,00,5f,00,4e,00,65,00,\
      74,00,62,00,69,00,6f,00,73,00,53,00,6d,00,62,00,00,00,5c,00,44,00,65,00,76,\
      00,69,00,63,00,65,00,5c,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,\
      72,00,76,00,65,00,72,00,5f,00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,00,63,\
      00,70,00,69,00,70,00,5f,00,7b,00,31,00,43,00,32,00,31,00,45,00,43,00,30,00,\
      45,00,2d,00,38,00,33,00,43,00,44,00,2d,00,34,00,35,00,31,00,41,00,2d,00,41,\
      00,42,00,41,00,31,00,2d,00,43,00,36,00,33,00,31,00,39,00,38,00,34,00,46,00,\
      32,00,30,00,38,00,34,00,7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,\
      00,5c,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,76,00,65,00,\
      72,00,5f,00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,00,63,00,70,00,69,00,70,\
      00,5f,00,7b,00,39,00,34,00,43,00,38,00,35,00,35,00,31,00,43,00,2d,00,32,00,\
      33,00,46,00,43,00,2d,00,34,00,41,00,41,00,45,00,2d,00,42,00,41,00,42,00,31,\
      00,2d,00,34,00,37,00,45,00,41,00,38,00,32,00,32,00,37,00,43,00,37,00,37,00,\
      33,00,7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4c,00,61,\
      00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,76,00,65,00,72,00,5f,00,4e,00,\
      65,00,74,00,42,00,54,00,5f,00,54,00,63,00,70,00,69,00,70,00,5f,00,7b,00,31,\
      00,45,00,42,00,34,00,44,00,37,00,37,00,42,00,2d,00,41,00,38,00,43,00,36,00,\
      2d,00,34,00,41,00,44,00,34,00,2d,00,42,00,43,00,36,00,42,00,2d,00,35,00,42,\
      00,45,00,33,00,42,00,31,00,34,00,33,00,35,00,46,00,44,00,37,00,7d,00,00,00,\
      5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4c,00,61,00,6e,00,6d,00,61,\
      00,6e,00,53,00,65,00,72,00,76,00,65,00,72,00,5f,00,4e,00,65,00,74,00,42,00,\
      54,00,5f,00,54,00,63,00,70,00,69,00,70,00,5f,00,7b,00,32,00,45,00,33,00,45,\
      00,39,00,44,00,37,00,45,00,2d,00,34,00,33,00,45,00,31,00,2d,00,34,00,33,00,\
      31,00,32,00,2d,00,39,00,39,00,42,00,32,00,2d,00,44,00,33,00,32,00,44,00,44,\
      00,46,00,44,00,44,00,30,00,34,00,41,00,44,00,7d,00,00,00,00,00
    По идее должно помочь, хотя на 100% не уверен...
    I am not young enough to know everything...

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    http://www.mb13.ru/winfaq/winnt/712.htm
    - это случай, когда неудачно деинсталлировали TCP/IP
    М.б. Вам тоже поможет.
    Есть еще вариант: переустановить драйвера сетевой карты.

    К Lanman еще куча параметров привязана, может и их не хватает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    10.09.2007
    Сообщений
    26
    Вес репутации
    34
    Bratez, спасибо. службы запустились. Посмотрю на дальнейшее поведение компьютера. Возможно воспользуюсь советом PavelA,
    Спасибо всем за помощь!

  • Уважаемый(ая) baobab75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Не работает кнопка пуск
      От S444 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.07.2012, 17:38
    2. Не работает кнопка Пуск
      От Sann-X! в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 18.08.2011, 13:27
    3. не работает кнопка Пуск
      От Евгений Д в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.06.2010, 15:20
    4. Пропала кнопка ПУСК
      От sergavens в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.11.2008, 21:10
    5. Ответов: 3
      Последнее сообщение: 11.09.2007, 15:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00759 seconds with 21 queries