перезагрузка компа
Здравствуте!
У меня вот какая проблема. Постоянно через какое-то вемя самопроизвольно возникает на экране окно с предупреждением "Generis Host Process for win32 serices - обнаружена ошибка" с предложением направить уведомление в сервисную службу Microsoft. Когда нажимаю "нет", всплывает окошко с извещением о перезагрузке через минуту. При этом информируется, что произошел удаленный вызов процедур (PPC) NT AVTHORITY/SYSTEM . Как это устранить? Помогите, если можете... Заране благодарен, Олег.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт:
сделать заново логи + лог Гмер (см "Чаво")Код:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\servdll.dll',''); QuarantineFile('c:\windows\system32\winsersec.exe',''); QuarantineFile('c:\windows\winwd.exe',''); DeleteFile('c:\windows\winwd.exe'); DeleteFile('F:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
все выполнил как было указано. Правда после выполнения скрипта комп сам перезагрузился (это нормально?). Жду дальнейших рекомендаций.
Перезагрузился - это нормально, так и должно было быть. Теперь вот это делайте:
Сообщение от PavelA
Я же вроде посылал требуемые файлы после выполнения скрипта (файлы virusinfo_syscheck.zip, virusinfo_syscure.zip, hijackthis.log и gmer.log - всего четыре файла). Или они не дошли? или я что-то не так понял или не так сделал когда отправлял? Щас ещё раз прикрепил эти файлы, смотрите...
Сохраните текст ниже как cleanup.bat в ту же папку, где находится pm2m6r8p.exe (gmer)
И запустите cleanup.bat. Компьютер перезагрузится.Код:pm2m6r8p.exe -del service obvious pm2m6r8p.exe -del file "C:\WINDOWS\System32\drivers\OBVIOUS.SYS" pm2m6r8p.exe -del file "System32\DRIVERS\obvious.sys" pm2m6r8p.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\obvious" pm2m6r8p.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\obvious" pm2m6r8p.exe -reboot
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\winsersec.exe'); DelCLSID('{39b93300-516d-11d3-956b-00a0cc249acc}'); QuarantineFile('C:\WINDOWS\winwd.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\WINSEC.SYS',''); QuarantineFile('C:\WINDOWS\WSEC32HK.dll',''); QuarantineFile('C:\WINDOWS\system32\winsersec.exe',''); QuarantineFile('C:\WINDOWS\system32\servdll.dll',''); QuarantineFile('C:\WINDOWS\pcsecshext.dll',''); DeleteFile('C:\WINDOWS\pcsecshext.dll'); DeleteFile('C:\WINDOWS\system32\winsersec.exe'); DeleteFile('C:\WINDOWS\WSEC32HK.dll'); DeleteFile('C:\WINDOWS\winwd.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Повторите логи AVZ + гмер.
Так. Похоже с реализацией первой вашей инструкцией ничего не получается Windows выдает пять сообщение по числу команд(строчек) в bat-ском файле cleanup.bat
на первую командную строку выдается сообщение: "DeleteService:Параметр задан неверно";
на вторую - "An error 0x00000002 occured during the deletion of file:"c:\windows\system32\drivers\OBVIOUS.SYS":не удается найти указанный файл"
на третью - "An error 0x00000003 occured during the deletion of file:"System32\DRIVERS\OBVIOUS.SYS":системе не удается найти указанный путь"
на четвертую, пятую - "DeleKey:параметр задан неверно"
И далее - перезагрузка... Более я ничего не предпринимал и жду от вас рекомендаций как поступить в данной ситуации.
p/s созданный файл cleanup.bat был размещен в указанном вами каталоге D:\GMER вместе с файлом pm2m6r8p.exe
Лог Гмера повторите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ловите...
ловите еще раз...
Где карантин?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\winsersec.exe'); StopService('winser'); QuarantineFile('C:\WINDOWS\pcsecshext.dll',''); QuarantineFile('C:\WINDOWS\WSEC32HK.dll',''); QuarantineFile('c:\windows\system32\winsersec.exe',''); DeleteFile('c:\windows\system32\winsersec.exe'); DeleteFile('C:\WINDOWS\WSEC32HK.dll'); DeleteFile('C:\WINDOWS\pcsecshext.dll'); DeleteService('winser'); BC_ImportAll; ExecuteSysClean; BC_Activate; BC_DeleteSvc('winser'); SetAVZPMStatus(True); RebootWindows(true); end.
- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Последний раз редактировалось pig; 27.08.2009 в 06:27. Причина: поправил скрипт
в этом скрипте какая-то ошибка (см. скриншот в прикрипленном файле)
Последний раз редактировалось PavelA; 27.08.2009 в 18:24.
Поправил замеченную опечатку.
P.S. Такое лучше на словах цитировать. Долго добираться - скачать, распаковать...
все проделано согласно ваших инструкций (в том числе и отправка карантиновских файлов)...
-Выполните скрипт:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).Код:begin QuarantineFile('C:\WINDOWS\system32\scg726.acm',''); QuarantineFile('C:\WINDOWS\winwd.exe',''); end.
Пока суд дело:
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.
- Обновите Java RE.
- Обновите Adobe Reader.
Выполнено и отправлено.
насчет этой рекомендации пока проблемотично, т.к надо искать где-то ключ (геморрой с активацией мне не нужен)- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
C:\WINDOWS\winwd.exe - не попал. Поищите и пришлите плиз, приложение 2 и 3 правил.
А первый файл ОК.
Ищите, но не откладывайте в долгий ящик, а то геморрой от бесконечного лечения получите
выполнил приложение 2 правил, но в протколе AVZ (основное окно) сообщение:C:\WINDOWS\winwd.exe - не попал. Поищите и пришлите плиз, приложение 2 и 3 правил.
"Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\winwd.exe)
Карантин с использованием прямого чтения - ошибка"
Соответсвенно в окошке "Просмотр карантина" (приложение 3) пусто. Чё делать?
Поищите по п.1 : http://virusinfo.info/showthread.php?t=4567
Лог virusinfo_syscheck.zip повторите.
Уважаемый(ая) katon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
