Показано с 1 по 19 из 19.

Тяжелый случай (заявка № 82484)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51

    Arrow Тяжелый случай

    Windows 2003 Server, при подключении через удалённый рабочий стол окно ввода пароля появляется не мгновенно (как было раньше), а спустя 2-3 минуты.


    Вложение 250805

    Вложение 250806

    Вложение 250807
    Последний раз редактировалось DasTPID; 01.03.2011 в 11:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Для начала профиксить:
    Код:
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    Логи с консоли делали?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51
    Цитата Сообщение от PavelA Посмотреть сообщение
    Для начала профиксить:
    Код:
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    Как?

    Цитата Сообщение от PavelA Посмотреть сообщение
    Логи с консоли делали?

    Консоль = удалёный рабочий стол? Да, под администраторскими правами.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от DasTPID Посмотреть сообщение
    Консоль = удалёный рабочий стол?
    Нет, делать надо конкретно на "железке".
    Цитата Сообщение от DasTPID Посмотреть сообщение
    Как?
    В "Чаво" расписано.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51
    FAQ прочитал, пофиксил, логи сейчас переделаю "с железки".

  7. #6
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51
    Последний раз редактировалось DasTPID; 01.03.2011 в 11:17.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Увидел только вот это:
    Код:
    begin
    //SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-288175931-7427965-3881448060-1045\Software\Microsoft\Windows\CurrentVersion\Run','amva');
    ExecuteSysClean;
    //RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51
    После выполнения данного скрипта на сервере перестал запускаться taskmgr, который нужен. После перезагрузки винда не стартует

    Добавлено через 3 часа 53 минуты

    Загрузился в безопасном режиме, выключил - включил, вроде бы заработало. Симптомы те же, как и в первом сообщении Но хотя бы заработал
    Последний раз редактировалось DasTPID; 06.07.2010 в 16:33. Причина: Добавлено

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    DasTPID, повторите логи пожалуйста.
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51
    Цитата Сообщение от миднайт Посмотреть сообщение
    DasTPID, повторите логи пожалуйста.
    Прошу прощения что так долго...

    Вложение 252437

    Вложение 252438

    Вложение 252439
    Последний раз редактировалось DasTPID; 01.03.2011 в 11:17.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Логи avz переделайте. Вышла новая версия программы.
    Paula rhei.
    Поддержать проект можно тут

  13. #12
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51
    Цитата Сообщение от миднайт Посмотреть сообщение
    Логи avz переделайте. Вышла новая версия программы.
    Вложение 252677

    Вложение 252678

    Вложение 252679
    Последний раз редактировалось DasTPID; 01.03.2011 в 11:17.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Выполните скрипт, пришлите карантин по правилам:

    Код:
    begin
    ClearQuarantine;
     QuarantineFile('ntmsevt','');
     QuarantineFile('C:\WINDOWS\System32\ntmsevt','');
    end.
    Paula rhei.
    Поддержать проект можно тут

  15. #14
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51
    Ошибка карантина файла, попытка прямого чтения (ntmsevt)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (ntmsevt)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)
    Карантин с использованием прямого чтения - ошибка
    Папка карантина пуста

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Можете добавить файл C:\WINDOWS\System32\ntmsevt вручную в zip-архив с паролем virus и прислать по красной ссылке вверху темы?
    Paula rhei.
    Поддержать проект можно тут

  17. #16
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51
    Сделал. Файл называется ntmsevt.dll

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Файл ntmsevt.dll чистый.
    Странно, что это - Windows 2003 SP1, ещё работает.

  19. #18
    Junior Member Репутация
    Регистрация
    31.05.2010
    Сообщений
    23
    Вес репутации
    51
    Ясно, спасибо за помощь

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) DasTPID, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Винлокер - тяжелый случай =(
      От AnyaBest в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.07.2011, 20:16
    2. Тяжелый случай
      От Antonnio в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.07.2009, 02:43
    3. Руткит-невидимка, тяжелый случай
      От ZeroDance в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 03.04.2009, 23:09
    4. Очень тяжелый случай....
      От Awdik в разделе Помогите!
      Ответов: 32
      Последнее сообщение: 22.02.2009, 03:24
    5. Ответов: 24
      Последнее сообщение: 23.11.2007, 08:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01572 seconds with 19 queries