Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Комп сам перезагружается. Что с ним? (заявка № 12639)

  1. #1
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61

    Exclamation Комп сам перезагружается. Что с ним?

    Согласно инструкции делаю следующее:
    1. Скачал AVZ
    2. Запустил AVZ и обновил базы. Закрыл AVZ
    3. Скачал Hijack, установил его
    4. отключил восстановление Винды (XP prof, SP1) Отключил NOD32
    5. Запустил AVZ, выбрал скрипт "Лечения/карантина и сбора инфы для раздела..."
    6. Нажимаю "выполнить выбранный скрипт", начинает выполняться и через 2 сек компьютер перезагружается с проверкой при загрузке диска С: на ошибки...

    Что делаю не так? Как быть?

    ЗЫ, В Темпе в Виндосе все время обнаруживается Rootkit.Agent.EY троян, согласно сообщения NOD32. Вот его и пытаюсь извести... и еще что-нить, если найдется...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Попробуйте сделать лог в безопасном режиме, как описано тут:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    Все равно, даже в защищенном режиме, и с отключением сетевых драйверов, и в режиме с командной строкой не получается прогнать скрипт до конца.
    Из стандартных скриптов, для лечения/карантина и сбора инфы...
    Программа АВЗ работает, проверяет по этапам комп, проводит эвристический анализ ... ... и комп перезагружается. Даже в безопасном режиме.
    Потом винда проверяет диск С на ошибки, и т.д.

    Только Хиджекер работает. Его лог я и прикрепил... пытаюсь
    Последний раз редактировалось LegoStav; 21.09.2007 в 18:52.

  5. #4
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    Вроде здесь получилось
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Вы или не прочли, или невнимательно прочли ссылку, которую дал Bratez. Тем нет ничего про скрипт лечения. Если перезагрузка идет на момент выполнения скрипта лечения, попробуйте сделать логи, начиная с п. 10 правил Если получится, прикрепите их к теме.
    И, еще раз, посмотрите и сделайте дополнительный лог, как предложил Bratez

  7. #6
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить - в процессе ваполнения компьютер аварийно перезагружается
    2. 2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол -
    в процессе переключения компьютер аварийно перезагружается.

    Чесслово, устал, уж не знаю что делать... Никаогда еще с такими траблами не сталкивался

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    качай бетку cureit и по второму пункту правил как написано,
    если всё равно не получиться, то удалить нод за нодом замечено- звери его портят, он в ответ систему в синьку бросает

  9. #8
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    Выполнил второй пункт правил. Из защищенного режима с сидюка запустил утилиту cureit - нашла инфицированный файл C:\WINDOWS\system32\srvany.exe и изолировала его. Больше ничего не нашла.

    Запускаю из защищенного режима АВЗ с процедурами:
    Файл - исследование системы - все службы и драйверы - при исполнении аварийный перезагруз;
    Файл - станд. скрипты - скрипт лечения/карантина для раздела Помогите - перезагруз;
    Файл - станд. скрипты - скрипт сбора инфы для раздела Помогите - перезагруз.

    Что делать дальше?

    Что имелось в виду "если всё равно не получиться, то удалить нод за нодом замечено- звери его портят, он в ответ систему в синьку бросает " Поподробнее, плиз!

    ЗЫ, HijackThis работает, сделал лог без проблем.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    в сейфмоде зайти в панель управления windows , add/remove programes и удалить nod32.

  11. #10
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    А после, я так понимаю, снова выполнить проверку компьютера по ПРАВИЛАМ, начиная уже с пункта 2?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    пунктT 8,9, 10- логи от AVZ нужны

  13. #12
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    Итак. Удалил NOD32. Перезагрузился.

    Далее, в обычном режиме в АВЗ исполняю стандартный скрипт № 3 "Скрипт лечения/карантина и сбора информации для раздела..."-> перезагруз во время исполнения. Причем, происходит это после проверки запущенных процессов и проверки дисков (при которой находит 2 подозрительных файла, один из них stardrv.exe, второй srefresh.exe в папке драйверов к принтеру, его размер 19,5 кБ.) Когда на экране появляется сообщение "Выполняется исследование системы", комп и перезагружается...

    Запускал АВЗ в защищенном режиме винды:
    1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить - делает прогон, и ничего как бы не обнаруживает. Протокол не создает. Но при отражении событий во время прогона скрипта есть подозрительное сообщение " 1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]"
    Я экранный "протокол" сохранил и прилагаю.
    2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол -> в процессе исполнения снова перезагруз компьютера.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ладно, давайте попробуем вслепую такой скрипт:
    Код:
    begin
    BC_QrSvc('runtime');
    BC_QrSvc('runtime2');
    BC_QrSvc('smtpdrv');
    BC_QrFile('C:\windows\temp\startdrv.exe');
    BC_DeleteSvc('runtime');
    BC_DeleteSvc('runtime2');
    BC_DeleteSvc('smtpdrv');
    BC_DeleteFile('C:\windows\temp\startdrv.exe');
    BC_Activate;
    Rebootwindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил.
    Попробуйте теперь сделать логи в нормальном режиме.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    Шлю карантин.

    Попробую сделать логи в нормальном режиме
    Последний раз редактировалось drongo; 23.09.2007 в 17:25.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Карантин не сюда, уберите и загрузите через эту форму:
    http://virusinfo.info/upload_virus.php?tid=12639
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    Простите, ошибся. Карантин закачал по ссылке.

    Прогнал успешно АВЗ в нормальном режиме, сделал логи. Прикрепляю их. В целом огромное спасибо, что хоть дело с мертвой точки сдвинулось!

    Шлю логи
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах больше ничего подозрительного.

    Вот что у вас плохо:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Такая система - практически решето. Настоятельно рекомендуется установить SP2 + последующие обновления (потребуется повторная активация Windows).

    И еще посмотрите, что реально нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    Не используемое надо отключить.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    Думаю поставить лицензионную Висту, но сомневаюсь - больно много системных ресурсов берет в сравнении с ХР.
    Либо лицензионную ХР с SP2. У меня нелегалка сейчас...

    >> Службы: разрешена .. RemoteRegistry (Удаленный реестр) - не нужно
    >> Службы: разрешена ..TermService (Службы терминалов) - не знаю, что это
    >> Службы: разрешена ..SSDPSRV (Служба обнаружения SSDP) - не знаю,что это
    >> Службы: разрешена ..Messenger (Служба сообщений) - не нужна
    >> Службы: разрешена ..Alerter (Оповещатель) - не нужна
    >> Службы: разрешена ..Schedule (Планировщик заданий) - не нужна
    >> Службы: разрешена ..mnmsrvc (NetMeeting Remote Desktop Sharing) - не знаю, что это
    >> Службы: разрешена ..RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) - не знаю что это, но думаю не нужна
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! - единственный ПК в компании, юзер один
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя - никто кроме меня не юзает
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX - не знаю что это

    Что посоветуете делать с операционкой? Оставить ХР, проапгрейпив ее или воткнуть Висту? Что посоветуете из антивирусного софта?

    И вот еще. В папке Темп в Виндосе файл stardrv.exe не появляется, но остались два файла ZLT07e1c.TMP и ZLT07e1f.TMP. Они не удаляются и сейчас, и у них раньше всё время менялось название, с каждой загрузкой операционки. Первые буквы ZLT и расширение TMP постоянно, а остальные символы менялись. Может, они тоже с вирусом связаны?
    Последний раз редактировалось LegoStav; 24.09.2007 в 11:26.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот скрипт для отключения потенциальных уязвимостей (кроме автозапуска CD):
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Ваши tmp-файлы скорее всего от ZoneAlarm'a.

    Насчет Висты - думаю, пока не стоит, лучше ставьте XP SP2 + обновления.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    21.09.2007
    Адрес
    г. Ставрополь
    Сообщений
    23
    Вес репутации
    61
    Сегодня (сейчас) прогнал прогу AD-Aware SE Personal , она находит Win32.TrojanPWS.LdPinch в ключах реестра и других местах.

    AVZ ничего такого не находит. Кому верить и что делать?

  • Уважаемый(ая) LegoStav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. перезагружается комп
      От zomg в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.11.2010, 17:01
    2. Комп перезагружается.
      От lebron в разделе Аппаратное обеспечение
      Ответов: 23
      Последнее сообщение: 26.02.2010, 22:13
    3. Комп перезагружается
      От Змiй в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 01:51
    4. Комп перезагружается сам
      От Lod в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.02.2009, 11:30
    5. Комп сам перезагружается
      От Lina_22 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.09.2008, 17:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00257 seconds with 20 queries