Показано с 1 по 16 из 16.

не включаются/выключаются службы (заявка № 24968)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    9
    Вес репутации
    31

    Question не включаются/выключаются службы

    под учетной записью администратора
    кроме того появляются неизвестные файлы (ярлык диска в корневом разделе другого диска ), в папке system volume information аваст (в корневом разделе любого диска) обнаружил троян ,
    компьютер повисает выключается экран кулер продолжает работу-при нажатии на выключение комп выключается сразу И ГЛАВНОЕ-разрешен вход какого-то пользователя с именем учетной записи типа 131241-345532-2346634-264-вроде того из группы администраторы

    исчезают файлы
    аваст и доктор веб вроде не нашли ничего-кроме трояна выше
    убедился что на машине малварь после того как нашел в RECYCLER папку с названием вроде яЛпва и вней два файла в одном из которых если открыть блокнотом было написано типа your computer kind (ля-ля-не помню точно)..malvare
    удалить получилось только unlocker'ом

    иногда в system volume information разрешен вход иногда-нет (может это так и нужно)
    железо в зависаниях машины не виновато-в линуксе ничего такого не происходит
    system volume .. вообще занимает много места (100-200 мб)
    попытался проверить систему troyan remover-он перезагружает комп и детектит троянцев, в итоге просто произошла перезагрузка,определить не удалось
    временами встроенный в аваст фрайвол выдает DCOM Exploit Attack адресс-такой-то, их бывает несколько
    еще проблема-в корневой папке каждого локального диска находится папка BOOTWIZ -не знаю какое приложение за нее ответственно судя по всему-acronics os selector -загрузчик ос ..но мало ли что
    благодарю всех кто захочет помочь
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\Root\LOCALS~1\Temp\LGXBPAX.exe','');
     QuarantineFile('C:\DOCUME~1\Root\LOCALS~1\Temp\HVUYJ.exe','');
     QuarantineFile('C:\DOCUME~1\Root\LOCALS~1\Temp\BAQKWV.exe','');
     DeleteFile('C:\DOCUME~1\Root\LOCALS~1\Temp\BAQKWV.exe');
     DeleteFile('C:\DOCUME~1\Root\LOCALS~1\Temp\HVUYJ.exe');
     DeleteFile('C:\DOCUME~1\Root\LOCALS~1\Temp\LGXBPAX.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=24968).
    Сделайте новый лог syscheck (п.10 правил).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    9
    Вес репутации
    31

    rootkit revealer

    поясню-после подозрения на вирус я испробовал все способы потом переинсталлировал систему и снова что то пошло не так-тогда уж я обратился к вам Запрошенние вами файлы представляют собой модули
    rootkit revealera-презентовали как утилиту для убиения всяческой малвари при отображении в проводнике видна подпись изготовителя скачал с хакерского форума не стоило качать чего не знаешь
    эти процессы были видны у меня в службах
    возможно прога сама заражена
    возможно-конфликтует с антивирусом
    (после удаления файлов AWZ) перехватывает таблицу эксплойта уже в других системных модулях
    (сейчас пишу-на столе только браузер
    эксплорер экзе выдал ошибку и отключился-нет панели и ярлыков-чистый экран)
    извините,я чувствую себя дураком...
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    9
    Вес репутации
    31

    вот прислал

    файлы


    [moderated: Сюда не надо.]
    Последний раз редактировалось Shu_b; 20.06.2008 в 12:00.

  6. #5
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    9
    Вес репутации
    31

    я по ссылке тоже закачал

    которая выше

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    BC_QrFile('c:\windows\system32\svchost.exe');
    BC_QrFile('C:\WINDOWS\system32\drivers\62573405.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24968 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    9
    Вес репутации
    31

    по моему вирус остался

    закачал карантин
    аваст сразу после выполнения скрипа обнаружил вирус
    но я решил что это и есть AWZ и не стал удалять
    я просто боюсь как бы хуже небыло
    по поводу поведения эксплорера-поиск проблем особых не обнаружил
    кроме отключения справки (я сам отключил )
    а браузером эксплорер я вовсе не пользуюсь и запретил его загрузку
    у меня в тот момент стоял фирефокс и он то как раз остался
    прилагаю лог
    чего-то детектит
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    9
    Вес репутации
    31
    невозможно включить службу восстановления системы-нет доступа(уч зап-администратор)

    Добавлено через 12 минут

    sign of win32:trojan-gen (other) has been found C:\WINDOWS\system32\Drives\vdi4mtq1.sys вот он-переименовывать?как удалить?или он уже в другом месте?

    Добавлено через 2 минуты

    в проводнике drivers с маленькой буквы а в журнале антивируса-с большой

    Добавлено через 46 секунд

    а такой папки в проводнике нет-скрывает хитрец

    Добавлено через 3 минуты

    может зайти с ливе-сиди убунту отыскать эту папку и оттуда удалить?он вроде файлы нтфс только отображает но не изменяет их-надо копатся в конфигах...

    Добавлено через 1 минуту

    кто подскажет?чую ведь что решение элементарное...

    Добавлено через 6 минут

    exploit dcom attack

    Добавлено через 22 минуты

    папка не Drives а Drivers
    Последний раз редактировалось serj2; 20.06.2008 в 13:43. Причина: Добавлено

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    62573405.sys - попробуйте прислать согласно приложения 2 правил ...
    C:\WINDOWS\system32\Drives\vdi4mtq1.sys - это драйвер авз ...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Карантин пришел. Это было ожидаемо... У Вас Аваст похоже удалил системный файл.
    Вам должно помочь это: http://public.avast.com/~trs/fix_svchost_ru.zip
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    9
    Вес репутации
    31
    ошибка процесса добавления в карантин!!!
    не получается
    попытка прямого чтения-ошибка
    добавление в карантин-ошибка

    Добавлено через 1 минуту

    как использовать?

    Добавлено через 59 секунд

    вовсе не знаю английский переводчик не установлен
    Последний раз редактировалось serj2; 20.06.2008 в 13:52. Причина: Добавлено

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    62573405.sys на диске присутствует .... поищите при помощи какого нибуть файлового менеджера например far ...
    наcчет английского по приведенной ссылке там все просто ... требуется уровень знаний третьего класса ...

  14. #13
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    9
    Вес репутации
    31

    файлы в авасте

    в хранилище аваста 3 файла-кернел32 длл
    winsock и wsock32 оба длл
    можно восстановить
    получится?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от serj2 Посмотреть сообщение
    в хранилище аваста 3 файла-кернел32 длл
    winsock и wsock32 оба длл
    можно восстановить
    получится?
    кто говорил что их нужно восстанавливать ... ?

  16. #15
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    9
    Вес репутации
    31
    removable media-защищенный режим?
    извините за тупость НУ НЕ УЧИЛ Я ИНГЛИШ-ДОЙЧ
    значит записываю на двд-ничего другого нет -защ режим-двойной клик на два файла-первый и второй-нажать ес-ребут и уже в обычный режим To fully restore the system you need to run a “System Restore” which you can do by clicking on Start/All Programs/Accessories/System Tools/System Restore.-не могу перевести-тоесть что в панель-понятно но конкретно...
    Finally, update the virus database by right clicking on the blue “a-ball” icon in the bottom right corner of the screen, then selecting “Updating” and “iAVS Update”.-ну ни как-хоть убей
    прошу прошения

    Добавлено через 1 минуту

    щелкнуть по голубой иконке полсле обновления датабаз

    Добавлено через 8 минут

    виев фс наподобие фара не находит 62573405.sys на диске с

    Добавлено через 7 минут

    в общем после перезагрузки в обычный режим найти в программах сустем тоолс-систем ресторе и кликнуть по ней затем щелкнуть по пиктограмме чтобы обновить сигнатуры-правильно?сообщите чтоб я точно знал чего делаю

    Добавлено через 1 минуту

    мне нужно искать .sys? а то его нет и нет..

    Добавлено через 3 минуты

    обновить и базы и сам аваст через его контекстное меню из трея

    Добавлено через 1 час 7 минут

    файл .сис
    интересно знать как называется данная малварь и к какому классу малварей она относится он может работать
    как сервер и укдаленно управлять моим компом?
    а какой нибудь кульный крекер сейчас сидит
    за монитором в трнениках и с
    бутылкой балтики
    и наблюдает движения мыши
    на моем мониторе...
    наш дивный киберпанковский мир

    Добавлено через 48 секунд

    залил я файло на ваш ресурс
    Последний раз редактировалось serj2; 20.06.2008 в 15:35. Причина: Добавлено

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,558
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) serj2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 22.06.2012, 09:36
    2. Отключаются службы (заявка №50118)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 25.01.2011, 15:00
    3. Ответов: 2
      Последнее сообщение: 27.01.2010, 20:29
    4. В win2003 отключаются сетевые службы
      От firsov в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.04.2009, 16:27
    5. Отключаются службы на Win2k3
      От sergeyboev в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.01.2009, 00:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01159 seconds with 23 queries