Показано с 1 по 19 из 19.

Тяжелый случай (заявка № 82484)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24

    Arrow Тяжелый случай

    Windows 2003 Server, при подключении через удалённый рабочий стол окно ввода пароля появляется не мгновенно (как было раньше), а спустя 2-3 минуты.


    Вложение 250805

    Вложение 250806

    Вложение 250807
    Последний раз редактировалось DasTPID; 01.03.2011 в 11:17.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Для начала профиксить:
    Код:
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    Логи с консоли делали?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24
    Цитата Сообщение от PavelA Посмотреть сообщение
    Для начала профиксить:
    Код:
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    Как?

    Цитата Сообщение от PavelA Посмотреть сообщение
    Логи с консоли делали?

    Консоль = удалёный рабочий стол? Да, под администраторскими правами.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от DasTPID Посмотреть сообщение
    Консоль = удалёный рабочий стол?
    Нет, делать надо конкретно на "железке".
    Цитата Сообщение от DasTPID Посмотреть сообщение
    Как?
    В "Чаво" расписано.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24
    FAQ прочитал, пофиксил, логи сейчас переделаю "с железки".

  7. #6
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24
    Последний раз редактировалось DasTPID; 01.03.2011 в 11:17.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Увидел только вот это:
    Код:
    begin
    //SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-288175931-7427965-3881448060-1045\Software\Microsoft\Windows\CurrentVersion\Run','amva');
    ExecuteSysClean;
    //RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24
    После выполнения данного скрипта на сервере перестал запускаться taskmgr, который нужен. После перезагрузки винда не стартует

    Добавлено через 3 часа 53 минуты

    Загрузился в безопасном режиме, выключил - включил, вроде бы заработало. Симптомы те же, как и в первом сообщении Но хотя бы заработал
    Последний раз редактировалось DasTPID; 06.07.2010 в 16:33. Причина: Добавлено

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    DasTPID, повторите логи пожалуйста.
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24
    Цитата Сообщение от миднайт Посмотреть сообщение
    DasTPID, повторите логи пожалуйста.
    Прошу прощения что так долго...

    Вложение 252437

    Вложение 252438

    Вложение 252439
    Последний раз редактировалось DasTPID; 01.03.2011 в 11:17.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Логи avz переделайте. Вышла новая версия программы.
    Paula rhei.
    Поддержать проект можно тут

  13. #12
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24
    Цитата Сообщение от миднайт Посмотреть сообщение
    Логи avz переделайте. Вышла новая версия программы.
    Вложение 252677

    Вложение 252678

    Вложение 252679
    Последний раз редактировалось DasTPID; 01.03.2011 в 11:17.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Выполните скрипт, пришлите карантин по правилам:

    Код:
    begin
    ClearQuarantine;
     QuarantineFile('ntmsevt','');
     QuarantineFile('C:\WINDOWS\System32\ntmsevt','');
    end.
    Paula rhei.
    Поддержать проект можно тут

  15. #14
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24
    Ошибка карантина файла, попытка прямого чтения (ntmsevt)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (ntmsevt)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)
    Карантин с использованием прямого чтения - ошибка
    Папка карантина пуста

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Можете добавить файл C:\WINDOWS\System32\ntmsevt вручную в zip-архив с паролем virus и прислать по красной ссылке вверху темы?
    Paula rhei.
    Поддержать проект можно тут

  17. #16
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24
    Сделал. Файл называется ntmsevt.dll

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Файл ntmsevt.dll чистый.
    Странно, что это - Windows 2003 SP1, ещё работает.

  19. #18
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    24
    Ясно, спасибо за помощь

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,563
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) DasTPID, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Винлокер - тяжелый случай =(
      От AnyaBest в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.07.2011, 20:16
    2. Тяжелый случай
      От Antonnio в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.07.2009, 02:43
    3. Руткит-невидимка, тяжелый случай
      От ZeroDance в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 03.04.2009, 23:09
    4. Очень тяжелый случай....
      От Awdik в разделе Помогите!
      Ответов: 32
      Последнее сообщение: 22.02.2009, 03:24
    5. Ответов: 24
      Последнее сообщение: 23.11.2007, 08:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00767 seconds with 22 queries