-
Не работает кнопка вставить, копировать работает
При исправлении проблемы путем попытки установить SP3 после разархивации выдает: Невозможно проверить целостность файла, не запущена служба криптографии (поправьте если не рпавильно запомнил) или зависящие от неё службы.
При использовании мастера устранения проблем, всегда находит модифицированный проводник.
Свернутые приложения не отображаются в панели задач, вызвать их можно только через диспетчер задач.
Через панель задач правой кнопкой невозможно вызвать диспетчер задач, только через три волшебных кнопки (графа отсутствует).
Через msconfig заметил что производится выборочный запуск программ и драйверов, попытка выставления обычного эффекта не дает.
Долго загружается explorer (рабочий стол и все с ним связанное).
Нарушена работа одного из модулей DrWeb, не найден модуль.... сообщение при загрузке, всегда.
Что я делал:
begin
SearchRootkit(true, true);
QuarantineFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe,C:\RECYCLER\S-1-5-21-6080286820-9319698911-465074973-2756\windll.exe,explorer.exe,C:\RECYCLER\S-1-5-21-8070950922-6181084819-531138074-4449\hdav.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe,C:\RECYCLER\S-1-5-21-6080286820-9319698911-465074973-2756\windll.exe,explorer.exe,C:\RECYCLER\S-1-5-21-8070950922-6181084819-531138074-4449\hdav.exe');
end.
Каюсь может где был не прав. + gmer - ом отключил и удалил какую то службу вряд ли штатную т.к. имя службы имело приблизительно вид sdf34fg или еще более изощренное имя, в заисимостях прямой завистимости других служб не имело, но имело связь с explorer, svchost.
Далее оговорюсь попыток исправления у меня будет толко одна, завтра днем, к сожалению ПК не мой и нужен как обычно "вчера". + ко всему мой личный интерес вызвает что данная проблема за последнее время встречается 3-ий раз. На разных ПК, у разных пользователей, соответственно переносчик неприятностей вряд ли один.
Даю ссылки на схожую проблему http://virusinfo.info/showthread.php?t=74001 и http://virusinfo.info/showthread.php?t=73353. Не работает буфер обмена, при открытии word файлов выдает сообщение нет связи с файлом ...
Лог HijackThis приложить не могу за неимением, увы
Через total commander копирование работает, меня то устраивает такой вариант, конечного пользователя нет
Последний раз редактировалось mrak74; 29.06.2010 в 11:59.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe,C:\RECYCLER\S-1-5-21-6080286820-9319698911-465074973-2756\windll.exe,explorer.exe,C:\RECYCLER\S-1-5-21-8070950922-6181084819-531138074-4449\hdav.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe,C:\RECYCLER\S-1-5-21-6080286820-9319698911-465074973-2756\windll.exe,explorer.exe,C:\RECYCLER\S-1-5-21-8070950922-6181084819-531138074-4449\hdav.exe');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Прошу прощение за то что забыл сказать, логи которые я выложил собственно говоря единственные первые, вторые логи я выполнить не успел, да уже увы и не успею. На основании этих логов единственных и первых я уже удалил с помощью AVZ: DeleteFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe,C:\RECYCLER\S-1-5-21-6080286820-9319698911-465074973-2756\windll.exe,explorer.exe,C:\RECYCLER\S-1-5-21-8070950922-6181084819-531138074-4449\hdav.exe');
файл autorun трогать не стал, т.к. знал что он от программы USBProtect.exe. Извиняюсь за глупость, что увы не снял повторных логов. gmer постараюсь сейчас выложить (если найду кнопку добавить вложение)
Забыл про карантин...если там что то есть то обязательно выложу
Увы вот этот параметр я не удалял: RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows NT\CurrentVersion\Winlogon','Taskman'); спасибо за науку, бью челом низкий поклон
сбросил содержимое и Quarantine и Infected от карантина avz00001.dta от Infected соответственно avz00002.dta
Файл сохранён как 100323_190452_2010-03-23_4ba8e6a42328f.zip
Размер файла 172409
MD5 20b72ff5895ace89d2f3f4b5923636bf
Последний раз редактировалось mrak74; 23.03.2010 в 19:06.
Причина: P.S.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
А теперь сравните свой скрипт с моим и найдите разницу. Не факт, что все очистилось Вашим скриптом
При создании лога gmer на Scan явно не нажимали. Переделать, если не хотите жить с Кидо
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Разницу узрел, никак в учебнике не дойду до: SetAVZGuardStatus(True); BC_ImportAll;
ExecuteSysClean; BC_Activate;(а неизвестное пугает). Измучен подготовкой к госам и диплому, не знаю за что хвататься. А Kido "затопчем" и запатчим, правда не припоминаю чтобы он как то влиял на кнопку Вставить на локальном компьютере (сети нет) даже если где то в логах остались следы её настроек. Но ход направления дальнейших действий рекомендуемых вами я понял. Лишь бы помогло. Аминь !!! Не примите за издевку (черный юмор). Завтра как доберусь до пациента исполню скрипт. А не поможет...Поможет формат С. Спасибо за помощь !!! Если у кого есть мысли по поводу исправления данного типа ошибки, пишите буду рад ознакомиться. Все методы хороши когда система под вопросом либо формат С либо замучить её до излечения
-
-
Сообщение от
mrak74
Если у кого есть мысли по поводу исправления данного типа ошибки, пишите буду рад ознакомиться.
Вполне возможно, что исправится моим скриптом для AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Скрипт выполнил были сомнения смогу ли я его "Скопировать", "Вставить", на
удивление ctrl+c и ctrl+v сработали при включении компьютера. После перезагрузки
проверил стандартные функции копировать - вставить, вставить по прежнему не
работает. Дальнейшую работу провести не удалось, в этом месте я находился в
командировке и там нас обслуживающий ПК персонал (вспоминаю слова одной пожилой
женшины по телефону: "Я вам сейчас прислать ничего не могу у меня тут програмисты
пришли, что то делают с компьютером". Какие програмисты остается за кадром для
меня тоже) Люди считают раз пришёл "специалист" сейчас всё сделает мгновенно,
перепрограмирует Windows и т.п. Каждые 1.5 часа меня дергали по делам
командировочным и доступ к ПК я имел по 15 минут в перерывах. В конечном итоге
решил я на это дело забить "гвоздь" и всё таки переустановить Windows в свой
положенный обеденный перерыв. Максимум что смог исполнить, дабы труды хэлпера
не совсем пропали зря, снял перед переустановкой ещё раз логи AVZ, HijackThis и RSIT(за
3 месяца) + копию реестра если кому интересно могу заZIP-овать и выложить.
Последнее о чем забыл упомянуть пробовал сегоня твикром восстанавливать все что
попадалось под руку связанное с проводником и буфером обмена на значения по
умолчанию, не помогло. Отдельное большое спасибо thyrex за оказываемую помощь !!! И
еще раз напомню схожий "Глюк" встречается уже 3-ий раз, ссылки на него в этой же
теме, смотрите выше по тексту. Считаю что тему к сожалению можно закрывать ... До
следующего подобного случая
Последний раз редактировалось mrak74; 29.06.2010 в 11:59.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Поскольку система уже переустановлена, остается только упомянуть, что можно было подчистить
Нужно было пофиксить в HiJack
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKUS\S-1-5-21-329068152-115176313-725345543-500\..\Run: [EXPLORER.EXE] EXPLORER.EXE (User '?')
Может и сам файл был пропатчен
Удалить этот раздел
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Driver Setup]
[]
Удалить параметр в ключе
[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"F:\RECYCLER\S-51-9-25-3434476501-1644491933-601013360-1214\BSyBT.exe"="F:\RECYCLER\S-51-9-25-3434476501-1644491933-601013360-1214\BSyBT.exe
:C:\WINDOWS\system32\drivers\BSyBT.exe"
Систему поставили хоть с SP3?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Да разумеется SP3 + накатил preSP4 (сборку с обновлениями по декабрь 2009). В AVZ через мастера поиска устранения проблем все что нашлось отключил. Ну и за неимением сети отрубил все сетевые службы, со справкой, планировщиком и т.п.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Вновь столкнулся с подобной проблемой. Симптомы пропадает сеть, звук, на панели задач не отображаются запущенные приложения, не работает кнопка вставить и создать ярлык. К сожалению в карантин зараженный svchost взять не смог (не хватило знаний, увы ) Помогло копирование svchost с другой не зараженной машины, через FAR.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-1585189361-8378975566-463539652-7804\nissan.exe - P2P-Worm.Win32.Palevo.nnb ( DrWEB: Trojan.Packed.688, BitDefender: Worm.Generic.218653, AVAST4: Win32:MalOb-AI [Cryp] )
- c:\windows\system32\drivers\bsybt.exe - P2P-Worm.Win32.Palevo.nnb ( DrWEB: Trojan.Packed.688, BitDefender: Worm.Generic.218653, AVAST4: Win32:MalOb-AI [Cryp] )
- \2010-03-23\avz00002.dta - Trojan.Win32.Kreeper.aph ( DrWEB: Trojan.Packed.16550, BitDefender: Trojan.Generic.3102846, AVAST4: Win32:Malware-gen )
-