Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Не могу сделать логи (заявка № 27180)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58

    Exclamation Не могу сделать логи

    Здравствуйте. Начал окучивать компьютер "по правилам" записал CureIT на компакт на здоровом компе, запустил на больном, комп сам перезагрузился. Запуск CureIT в безопасном режиме удался - вылечил несколько вирусов, предложил перезагрузиться.
    Больше не могу войти в систему ни в обычном, ни в безопасном режиме. Сразу после логина происходит логаут - комп почти сразу пишет "завершение сеанса", и выходит.
    Как лечить?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Зайдите в консоль восстановления или загрузитесь с загрузочного CD типа BartPE и проверьте наличие файлов:
    Windows\System32\userinit.exe
    Windows\System32\winlogon.exe

    Даже если они есть, лучше замените их на чистые из дистрибутива или с чистой системы. О результатах сообщите.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    userinit.exe действительно отсутствовал. После его копирования с другой машины винда загрузилась.

    Логи "syscure" сделать по-прежднему не могу, т.к. во время выполнения скрипта комп перезагружается, когда AVZ выводит строку "количество найденных процессов: 22"

    Выкладываю, что смог собрать.
    Последний раз редактировалось Generalissimus; 07.08.2008 в 16:34.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Отключите восстановление системы, как написано в правилах.

    Скачайте IceSword.
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\Drivers\Wfl26.SYS и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Потом выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\iexplorer.exe','');
     QuarantineFile('C:\WINDOWS\System32\CTFMON.EXE','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Befe44.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\mickey32.sys','');
     QuarantineFile('C:\WINDOWS\glok+1204-196.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wfl26.SYS','');
     QuarantineFile('C:\WINDOWS\twain_8.dll','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('c:\windows\system32\ccevtsvc.exe','');
     QuarantineFile('c:\windows\system32\cbevtsvc.exe','');
     DeleteFile('c:\windows\system32\cbevtsvc.exe');
     DeleteFile('c:\windows\system32\ccevtsvc.exe');
     DeleteFile('C:\WINDOWS\twain_8.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wfl26.SYS');
     DeleteFile('C:\WINDOWS\System32\Drivers\mickey32.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Befe44.sys');
     DeleteFile('C:\WINDOWS\iexplorer.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('CcEvtSvc');
    BC_DeleteSvc('CbEvtSvc');
    BC_DeleteSvc('mickey32');
    BC_DeleteSvc('Befe44');
    BC_DeleteSvc('Wfl26');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Лог Куре-Ит, если сохранился пришлите сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    Цитата Сообщение от PavelA Посмотреть сообщение
    Лог Куре-Ит, если сохранился пришлите сюда.
    Логи не нашел. Где они обычно сохраняются? В папке, откуда запускал, только setup.exe остался.

    Скрипт лечения и сбора информации по-прежднему приводит к перезагрузке. Логи прилагаю. Файл wfl26.sys и карантин выслал по правилам
    Последний раз редактировалось Generalissimus; 07.08.2008 в 16:34.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Лог "CureIt.log" лежит в папке "C:\Documents and Settings\имя пользователя\DoctorWeb"
    Проще так: пуск - выполнить - %userprofile%\DoctorWeb
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    Лог CureIT
    Последний раз редактировалось Generalissimus; 07.08.2008 в 16:33.

  10. #9
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    После очередной перезагрузки НОД нашел какую-то заразу и пообещал вылечить, но проблема осталась.
    По-прежднему не могу сделать лог syscure, комп перезагружается. Лог syscheck и hijackthis выкладываю свежий.

    Заметил, что перезагрузка происходит не в определенный момент, а хаотично, но всегда после строки "количество найденных процессов"
    Последний раз редактировалось Generalissimus; 07.08.2008 в 16:33.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Жуть что творится. Два серьезных а/вируса - НОД и Симантек + куча зверья.

    Лечение будет серьезным, готовьтесь.

    Добавлено через 9 минут

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearHostsfile;
     QuarantineFile('Wfl26.sys','');
     QuarantineFile('C:\WINDOWS\glok+1204-196.sys','');
     DeleteService('glok+1204-196');
     QuarantineFile('c:\windows\system32\winffcdu.exe','');
     TerminateProcessByName('c:\windows\system32\winffcdu.exe');
     QuarantineFile('c:\windows\system32\secwfbaj.exe','');
     TerminateProcessByName('c:\windows\system32\secwfbaj.exe');
     BC_DeleteFile('c:\windows\system32\secwfbaj.exe');
     DeleteFile('c:\windows\system32\winffcdu.exe');
     DeleteFile('C:\WINDOWS\glok+1204-196.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Далее все по стандарту: карантин загрузить по ссылке, сделать новые логи.
    Последний раз редактировалось PavelA; 29.07.2008 в 12:08. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    Выполнял скрипт два раза, т.к. один раз запуск скрипта привел к перезагрузке.

    В карантин почему-то попало только два файла.

    После выполнения скрипта опять то же самое - не получается выполнить скрипт лечения и сбора информации.

    Вот логи, какие есть. Карантин выложил
    Последний раз редактировалось Generalissimus; 07.08.2008 в 16:33.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить:
    O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll

    Скрипт, из сообщения выше, выполнить в безопасном режиме. почему-то ничего не удалилось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    Цитата Сообщение от PavelA Посмотреть сообщение
    Профиксить:
    O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll
    Просто так не фиксится - сейчас попробую сделать все вышеописанное из безопасного режима
    -----------
    Из безопасного режима по-моему опять ничего особенного не получилось. Файлов в карантине стало побольше, но не все запрошенные. Карантин отправил.
    ----------
    Сейчас снова перезагрузился. Запустить скрипт лечения так и не удалось - опять уходит в перезагрузку. Удалось выдернуть кусок лога - может пригодится... (отменил выполнение перед сканированием процессов).
    После перезагрузки NOD ругнулся на %windir%\system32\regxswgo.exe - вероятно неизвестный NewHeur_PE вирус. Вроде бы, не в первый раз ругается, имя файла знакомо.
    Последний раз редактировалось Generalissimus; 29.07.2008 в 17:55. Причина: добавил

  15. #14
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    вот логи. hijackthis не фиксит О18 ни в безопасном режиме, ни в обычном.

    Что делать? Есть ещё предложения? Может с компакта загрузиться, и файлики пособирать?

    Может так попробовать: сделать копию корня диска (или только %windir%) на другой диск в какую-л. папку, затем загрузиться с miniPE, и через total commander сделать синхронизацию папок? Все скрытые файлы, которые не видно из больной ос, сразу всплывут... и их пришлю архивом.

    Или ещё что посоветуете?
    Последний раз редактировалось Generalissimus; 07.08.2008 в 16:33.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Такой скрипт еще (в порядке бреда).
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     executerepair(11);
     executerepair(17);
     DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}');
     TerminateProcessByName('c:\windows\system32\secwfbaj.exe');
     TerminateProcessByName('c:\windows\system32\regxswqo.exe');
     DeleteFile('c:\windows\system32\regxswqo.exe');
     DeleteFile('c:\windows\system32\secwfbaj.exe');
     DeleteFile('C:\WINDOWS\twain_8.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteFile('c:\windows\system32\regxswqo.exe');
    BD_DeleteFile('c:\windows\system32\secwfbaj.exe');
    BC_DeleteFile('C:\WINDOWS\twain_8.dll');
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось Rene-gad; 29.07.2008 в 18:22. Причина: забыл важные строчки.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Я думаю перед всеми этими скриптами временно деинсталлить НОДа и Симантека.
    М.б. они мешаются.

    После деинсталла лечиться с отключенным Инетом.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    Удалил антивирусы, повторил выполнение первого и второго скрипта, предварительно выключив сеть. Ситуация вроде немного изменилась, выкладываю свежие логи. Карантин высылать не буду, там все файлы по нулям, кроме winlogin.exe (его уже присылал). При запуске скрипта лечения комп по-прежднему перезагружается.
    Последний раз редактировалось Generalissimus; 07.08.2008 в 16:37.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [mbvedpx32] secwfbaj.exe
    O4 - HKLM\..\Run: [eprogqm] C:\WINDOWS\System32\regvpcfw.exe
    O4 - HKCU\..\Run: [mbvedpx32] secwfbaj.exe
    O4 - HKCU\..\Run: [eprogqm] C:\WINDOWS\System32\regvpcfw.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\windows\system32\regvpcfw.exe');
     QuarantineFile('secwfbaj.exe','');
     QuarantineFile('C:\WINDOWS\System32\secwfbaj.exe','');
     QuarantineFile('c:\windows\system32\regvpcfw.exe','');
     DeleteFile('c:\windows\system32\regvpcfw.exe');
     DeleteFile('C:\WINDOWS\System32\secwfbaj.exe');
     DeleteFile('secwfbaj.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  20. #19
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    В карантин почему-то попал только один файл. Выслал по правилам.

    Лечение по-прежднему не проходит.

    Скрипты, какие есть, прилагаю.
    Последний раз редактировалось Generalissimus; 07.08.2008 в 16:37.

  21. #20
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    20
    Вес репутации
    58
    Про меня забыли? ((

  • Уважаемый(ая) Generalissimus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Очередной блокер. Логи сделать не могу.
      От Heron в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 14.03.2011, 17:12
    2. не могу сделать логи (СМС-блокировка)
      От Stepanyuk в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.12.2009, 15:09
    3. Ответов: 8
      Последнее сообщение: 19.11.2008, 15:40
    4. не могу сделать логи
      От sergb в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.09.2008, 14:32
    5. Не могу сделать логи!!!
      От Vidok в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.08.2008, 15:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01551 seconds with 19 queries