Вирус и зависание AVZ

Printable View

20.10.2012, 00:47
allalone

Вложений: 1

Вирус и зависание AVZ

[ATTACH]381815[/ATTACH][COLOR=#333333]AVZ не может полностью выполнить скрипты:
[/COLOR][B]Скрипт сбора информации для раздела "Помогите!" virusinfo.info
[/B][B]Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info
[/B][COLOR=#333333]При запуске этих скриптов некоторое время AVZ делает сбор информации, а потом виснит(на этапе "исследование системы")[/COLOR]
[COLOR=#333333]Все, что удалось сделать - прикрепил к этому сообщению.[/COLOR]
[COLOR=#333333]Очень настараживает вот этот процесс:[/COLOR][COLOR=#333333]
[/COLOR][B]C:\Documents and Settings\dima\WINDOWS\System32\smss.exe[/B]
[COLOR=#333333]Плюс AVZ ругается на попытку скрытия файла. Файла по этому пути действительно увидеть нельзя(любой файловый менеджер показывает, что данная папка пустая). Побывал удалять папку, в которой он находится но после перезагрузки она создается вновь.[/COLOR]
[COLOR=#333333]Помогите удалить данный файл.[/COLOR]
20.10.2012, 00:48
Info_bot

Уважаемый(ая) [B]allalone[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.10.2012, 01:03
regist

[quote="allalone;933387"]virusinfo_cure.zip
([/quote]
не тот файл прикрепили, этот уберите ...

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Если не получится сделать лог AVZ [url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]
20.10.2012, 01:04
allalone

Удалил. Другие прикрепит не могу, т.к. они не создаются AVZ - программа зависает на стадии "исследование системы".
20.10.2012, 01:39
regist

сделайте тогда лог uVS если не поместится во вложение загрузите сюда [url]http://rghost.ru/[/url] и дайте ссылку на скачивание.
20.10.2012, 09:17
allalone

[url]http://rghost.ru/41039922[/url] - вот ссылка.
Единсвенное, что выбрал Полный образ автозапуска БЕЗ проверки цифровой подписи, т.к. данный лог делался очень долго и так и создался. Если необходим с проверкой - сообщите, буду пытаться сделать его.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Вот отчет с проверкой цифровых подписей - http://rghost.ru/41041621
20.10.2012, 12:22
regist

Вставьте диск с которого устанавливалась система либо аналогичный ( с той же локализацией и сервис паком) и выполните в командной строке: sfc /scannow подробней можете прочитать [URL="http://support.microsoft.com/kb/310747"]здесь[/URL].

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

после проверки файлов изменения к лучшему есть ?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

зы. а AVZ запускали в локальной сессии ? с правами админа ?
23.10.2012, 19:17
allalone

Вложений: 3

выполнил команду, которую вы попрсили - ситуация не изменилась.
Лог MBAM во вложении

но теперь удалось сделать Логи AVZ - во вложении.
но файл
C:\Documents and Settings\dima\WINDOWS\System32\smss.exe
попрежнему есть и на него ругается AVZ.
23.10.2012, 20:27
regist

[NOTICE]Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора,[B][COLOR="#0000FF"]AVZ запущен из терминальной сессии[/COLOR][/B] (RDP-Tcp#2)
Восстановление системы: включено[/NOTICE]
вот ответы на все ваши вопросы.
23.10.2012, 21:03
allalone

Так а что за файл
C:\Documents and Settings\dima\WINDOWS\System32\smss.exe
на который ругается AVZ ?
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\dima\WINDOWS\system32\smss.exe
24.10.2012, 10:44
Techno

Это нормальный процесс.
[QUOTE]SMSS.EXE - Данный процесс представляет подсистему менеджера сеансов. Данная подсистема является ответственной за запуск пользовательского сеанса.[/QUOTE]
24.10.2012, 12:26
PavelA

[quote="allalone;934378"]Так а что за файл
C:\Documents and Settings\dima\WINDOWS\System32\smss.exe
на который ругается AVZ ?[/quote]
Нет его. Это так AVZ пути отображает.
Чтобы убедится в этом можно воспользоваться обычным виндусовым поиском
24.10.2012, 21:05
allalone

Всем спасибо. Вопрос решен.
24.10.2012, 22:18
regist

[b]allalone[/b], советую ещё почитать справку по AVZ и про виндоус сервера. Если запускать AVZ из терминального режима, то сервер можно убить за пять минут ... к сожалению примерно раз в месяц такая вещь регулярно случается.