через пару часов работы выдает ошибку NT Authority system и происходит остановка службы services.. таймер и через 60 секунд перезагрузка. Проблема началась после перевода машин на другую сетку (вывод из домена, замена симантек на аваст)..
Проблема на 3 компах ХР - 2 компа СП3 и 1 СП2..
Когда делал логи не смог выгрузить аваст, просто остановил...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сразу предупрежу: разные компы в разные темы.
В логах только кусочек Симантека виден, от него у Вас что-то работает?
Выполнить:
Пришли карантин по http://virusinfo.info/upload_virus.php?tid=42651Код:begin QuarantineFile('%systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs',''); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Нет! Стоял симантек, терь его нету!
Добавлено через 13 минут
после выполнения скрипта карантин пустой! Пишет что скрипт выполнен без ошибок.
могу файл прислать!
Последний раз редактировалось Crystaliyes; 27.03.2009 в 13:34. Причина: Добавлено
В карантин же AVZ autorun.inf засунул с диска D. Как же его там нет?
Через AVZ поиском по диску поищи файл,указанный в скрипте. Если найдется, то в карантин его и сюда на исследование.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Интересная вестчь...Файл на диске есть....AVZ через поиск его находит, выделяю (галочкой), жму "Копировать отмеченные файлы в карантин@, а в карантине тока авторан с диска D.....или я где-то туплю??
Выполнить:
После перезагрузки пришли карантин.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('%systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
отправил
autorun.inf - Trojan-GameThief.Win32.OnLineGames.zll
Выполнить скрипт:
Профиксить:Код:begin DeleteFile('e:\t.com'); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('%systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs'); DeleteService('SYMIDSCO'); DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\SCFIDS~1\20060807.097\symidsco.sys'); DeleteFile('C:\Documents and Settings\slim\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); DeleteFile('E:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать заново логи.Код:O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
сделал
ой...сорри! не пофиксил....ща перешлю лог
вот!
В AVZ установить AVZPM, перезагрузиться и повторить логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Включил
вот нашел такую же проблему!
http://virusinfo.info/showthread.php...ght=1073741819
Добавлено через 33 минуты
Сам файл services.exe отличается по размеру от аналогичного файла на стабильно работающей машины... Может есть вероятность его подмены???
Последний раз редактировалось Crystaliyes; 27.03.2009 в 19:19. Причина: Добавлено
В предыд логе была вот такая строчка:
>>>> Обнаружена маскировка процесса 2268 C:\WINDOWS\system32\wuauclt.exe
В последних она исчезла. Это мне не нравится.
Файл services.exe м.б. разным, там же разные СП стоят. Кстати, после установки СП3
часто данная ошибка исчезает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
с СП 3 некорректно работают интерфейсы некоторых сетевых принтеров... с СП 2 таких проблем нет, по этому СП 3 не могу поставить...
А так ниче сделать нельзя?
Пришлите его согласно приложению 2 правил...
Кого "Его"?
services.exe
Во! Подловил! Короче ошибка следующая:
Инструкция по адресу 0x6f95baec обратилась к памяти по адресу 0x027e0328. Память не может быть "read"...
После того, как я сейчас нажму OK выскачет окошко с ошибкой, которое я описывал в самом начале! сейчас делаю скрипт №3! Попробую остановить перезагрузку и сделать еще 1 лог! Или не надо?
вот лог до того как я нажал ОК
Уважаемый(ая) Crystaliyes, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
