Показано с 1 по 12 из 12.

пропал рабочий стол (заявка № 84347)

  1. #1
    Junior Member Репутация
    Регистрация
    25.05.2010
    Адрес
    Белорецк
    Сообщений
    562
    Вес репутации
    27

    Thumbs up пропал рабочий стол

    ПК загружается.. и просит активировать винду... но не активации не запуска не происходит, только картинка, нет ни пуск, не ярлычков, на Ct+Al+Del не реагирует. В безопасный режим загрузился, логи
    Последний раз редактировалось steel-prom; 10.08.2010 в 09:40.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    25.05.2010
    Адрес
    Белорецк
    Сообщений
    562
    Вес репутации
    27
    есть карантин

    Файл сохранён как 100802_091136_virus_4c565388ecbc2.zip
    Размер файла 2868573
    MD5 f3232d4e5d4c40032eaf2c01365f32b7
    выполнил скрипт
    Код:
    begin
    //
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     DeleteFile('C:\WINDOWS\Installer\2b4a98.msi');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    и пофиксил:
    Код:
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\twex.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2B967A21-4AFA-4273-AB11-D1478F45B326}: NameServer = 192.168.0.223
    O20 - Winlogon Notify: crypt - crypts.dll (file missing)
    Последний раз редактировалось PavelA; 04.08.2010 в 15:26.

  4. #3
    Junior Member Репутация
    Регистрация
    25.05.2010
    Адрес
    Белорецк
    Сообщений
    562
    Вес репутации
    27
    логи rsit
    Последний раз редактировалось steel-prom; 10.08.2010 в 09:40.

  5. #4
    Junior Member Репутация
    Регистрация
    25.05.2010
    Адрес
    Белорецк
    Сообщений
    562
    Вес репутации
    27
    не смотря на то что винда была лицензионная, пропачив ее в безопасном режиме (активация) заработала нормально, рабочий стол восстановился, логи:
    Последний раз редактировалось steel-prom; 10.08.2010 в 09:40.

  6. #5
    Junior Member Репутация
    Регистрация
    25.05.2010
    Адрес
    Белорецк
    Сообщений
    562
    Вес репутации
    27
    лог комбо, все таки winlogon быт пропачен, толко вот кем?
    Последний раз редактировалось steel-prom; 10.08.2010 в 09:40.

  7. #6
    Junior Member Репутация
    Регистрация
    25.05.2010
    Адрес
    Белорецк
    Сообщений
    562
    Вес репутации
    27
    кто может сказать, что эта за строчка странная?
    Код:
    S2 yvuabbumdf;yvuabbumdf;\??\c:\windows\system32\drivers\mrhneejze.sys --> c:\windows\system32\drivers\mrhneejze.sys [?]

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Что сказать, закарантинь этот файл?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    25.05.2010
    Адрес
    Белорецк
    Сообщений
    562
    Вес репутации
    27
    скрипт выполню:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    
    QuarantineFile('c:\windows\system32\drivers\mrhneejze.sys','');
    QuarantineFile('c:\windows\system32\emptyregdb.dat','');
    DelCLSID('14A21378-5BB1-4BC4-95D5-5D3F51527F6F');
    DeleteFile('c:\windows\system32\emptyregdb.dat');
    
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Добавлено через 6 минут

    и что там?
    Файл сохранён как 100803_110407_virus_4c57bf67c7087.zip
    Размер файла 10112
    MD5 a8027626a160ef47dee5d03f3fcdfc77
    Последний раз редактировалось PavelA; 03.08.2010 в 11:12. Причина: Крест за такое!!!

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    sys не попался. Скрипты аккуратнее пишите.

    Добавлено через 33 секунды

    Цитата Сообщение от steel-prom Посмотреть сообщение
    QuarantineFile('c:\windows\system32\emptyregdb.dat ','');
    - чистый.
    Последний раз редактировалось PavelA; 03.08.2010 в 11:15. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    25.05.2010
    Адрес
    Белорецк
    Сообщений
    562
    Вес репутации
    27
    Files Infected:
    C:\Documents and Settings\Тюмень-1\DoctorWeb\Quarantine\A0012275.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Тюмень-1\DoctorWeb\Quarantine\MyCentriaUninstall.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Тюмень-1\Local Settings\temp\Uninstall.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
    нашел MBAM

  12. #11
    Junior Member Репутация
    Регистрация
    25.05.2010
    Адрес
    Белорецк
    Сообщений
    562
    Вес репутации
    27
    думаю тему можно закрыть, больше вроде не беспокоит ничего..

    Установите на Windows Service Pack 3
    (может потребоваться активация) и все последующие обновления отсюда.
    Установите Internet Explorer 8.0

    потом
    - откройте файл ScanVuln.txt Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) steel-prom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 25.01.2011, 03:28
    2. Пропал рабочий стол
      От Kujimiti в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.08.2010, 19:25
    3. пропал рабочий стол
      От DZon в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.02.2010, 14:35
    4. Пропал рабочий стол!
      От V_Maxxx в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.02.2010, 16:42
    5. Пропал рабочий стол
      От mrsbc в разделе Помогите!
      Ответов: 50
      Последнее сообщение: 29.12.2009, 13:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01447 seconds with 20 queries