-
Junior Member
- Вес репутации
- 52
Ошибка DCOM, перезагружается компьютер.
Имеется компьютер который после установки новой версии avast начал перезагружаться сразу после появления рабочего стола.
Отключили автоматическую перезагрузку при отказе системы - все равно перезагружается.
В безопасном режиме грузится нормально.
В журнале событий одна и та же ошибка что-то вроде "ошибка DCOM. Значение не задано". Код ошибки отсутствует.
Просмотр служб компонентов закрывается сразу после выбора моего компьютера.
При запуске MSconfig писалось, что файл не найден, но скопировали с другого компьютера и заработал.
В автозагрузке отключили все лишнее, почистили реестр - никаких изменений.
Убрали аваст из автозагрузки - тоже не помогло. Поставили аваст на проверку до загрузки системы - не срабатывает.
AVZ - выполняли первый стандартный скрипт.
Сейчас идет проверка AVP-tool пока ничего не найдено.
Догадываюсь, что какой-то троян. Может кто-нибудь знает что именно за троян и как бороться?
Компьютер включился после удаления аваста. Установить заново не получается.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 52
К сожалению компьютер на котором эта проблема теперь при попытке подключении к интерет по локальной сети выдаёт "ошибка получения сетевого адреса". Сейчас попробуем перенести отчет AVZ на другой компьютер...
-
Junior Member
- Вес репутации
- 52
Лог AVZ. Вроде он.
Вложение 229493
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\qepsbzpe.sys','');
QuarantineFile('C:\WINDOWS\lsass.exe','');
QuarantineFile('C:\Documents and Settings\Uaer\Главное меню\Программы\Автозагрузка\syspck32.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
DeleteService('kkdc');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Urgent System Check');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\Uaer\Главное меню\Программы\Автозагрузка\syspck32.exe');
DeleteFile('C:\WINDOWS\lsass.exe');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\qepsbzpe.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Файл сохранён как 100408_140807_quarantine_4bbdab07c8b9f.zip
Размер файла 206083
MD5 c0ba2fe07f86624958061bb276a0dfe4
Файл закачан, спасибо!
-
Junior Member
- Вес репутации
- 52
Вложение 229526
Вложение 229527
Логи.
При попытке подключения по локальной сети все еще выдает: "Получение сетевого адреса". И все.
-
Junior Member
- Вес репутации
- 52
Включили DCOM и сеть заработала.
Однако regedit, cmd, msconfig запускаются исключительно после смены расширения с "exe" на "com".
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\qepsbzpe.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\qepsbzpe.sys');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
такой http://www.gmer.net/ лог сделайте
-
-
Junior Member
- Вес репутации
- 52
Спасибо за помощь. Нас выгнали из-за этого компьютера не дав доделать работу...
Буду надеяться, что победить троян успели...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\uaer\главное меню\программы\автозагрузка\syspck32.exe - Backdoor.Win32.Bredolab.dtc ( DrWEB: Trojan.Botnetlog.126, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drwat32.exe - Backdoor.Win32.Agent.arls ( DrWEB: Trojan.PWS.Ibank.32 )
-