-
Junior Member
- Вес репутации
- 63
нужен хелп!
добрый день, сегодня утром обнаружились следующие симптомы на одной из машин в сети:
- очень медленно загружается
- отсутствуют все сетевые подключения и не дает создать новое
CureIT ничего не нашел, XAS нашел ntos.exe и грохнул его, но после перезагрузки он появился снова, в процессах пришлось удалить SYSTEM32.EXE и штук 8 SVCHOST.EXE (причем именно большими буквами), так как загрузка проца была 100%, после удаления вернулась в норму. Далее пофиксил в HiJackThis все строчки где был ntos.exe но непомогло... комп по прежнему очень долго грузится и не видит сеть...
Последний раз редактировалось Antonnio; 24.09.2007 в 12:02.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено
- это нехорошо.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
PavelA
- это нехорошо.
да, забыл написать что при попытке отключения восстановления системы выдается сообщение: "ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите компьютер и повторите попытку." Перезагрузка не помогает, права - админские.
Сейчас отключил монитор NOD32 и выполнил скрипты повторно...
надеюсь на помощь...
PS симптомы те же что и в теме "Пропала сеть, изменилась кнопка Пуск, не работает буфер обмена"...
Последний раз редактировалось Antonnio; 24.09.2007 в 12:02.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пофиксите, если останется:
Код:
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User '?')
Карантин пришлите согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Спасибо за помощь!
карантин - 070911_072634_virus_46e6897aee242.zip
логи - прилагаю.
Мне кажется что какая то беда с эксплорером, так как винда грузится нормально ровно до момента загрузки эксплорера, потом тормозит минут 5, да и буфер обмена и сетевые подключения так и не работают... (((
и отключить восстановление системы все еще не представляется возможным...
Последний раз редактировалось Antonnio; 24.09.2007 в 12:02.
-
C:\WINDOWS\system32\dfrg.msc %c: - вот это из Автозапуска убери. Дефрагментатор при старте виндов может тормозить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Спасибо, но проблемы с сетью и эксплорером это полагаю не решит... )))
-
Зловред удален.
Проблема у вас в том, что не запускается большинство системных служб. Попробуйте восстановить из дистрибутива Windows файл svchost.exe (C:\WINDOWS\System32\svchost.exe).
I am not young enough to know everything...
-
-
http://www.cexx.org/lspfix.htm - попробуй вот это или winsockfix
Только запомни сетевые настройки. Должно помочь для работы с сетью.
После всего лечения неплохо провериться: sfc /scannow Может потребоваться диск с дистрибутивом ХР. Развиваю мысль Bratez.
Последний раз редактировалось pig; 11.09.2007 в 18:14.
Причина: Опечатка была
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Bratez
Зловред удален.
Проблема у вас в том, что не запускается большинство системных служб. Попробуйте восстановить из дистрибутива Windows файл svchost.exe (C:\WINDOWS\System32\svchost.exe).
да, удален, спасибо. Действительно посмторел, запущено всего 2(!) службы, остальные запустить нет возможности. svchost восстановил - не помогло. Последняя надежда на sfc, сейчас поставил проверять, завтра утром посмотрим. А ведь если придется все таки переставлять винду то потеряется лицензия...