При запуске в обычном режиме работает секунд 10, потом виснет.
Раньше создавал в реестре ссылку на запуск c:\windows\temp\startdrv.exe.
Printable View
При запуске в обычном режиме работает секунд 10, потом виснет.
Раньше создавал в реестре ссылку на запуск c:\windows\temp\startdrv.exe.
На всякий случай дополнительный лог
пофиксите ...
[code]
02 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)
O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)
O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)
O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)
O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)
O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)
O2 - BHO: Microsoft copyright - {971D5B7B-F7DF-43ee-B771-6B7FA09975C3} - tcprp.dll (file missing)
O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)
O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: oembios32.msdn_hlp - {D79E1D43-C805-40EF-8ACB-DFFB17E9A4AF} - C:\WINDOWS\system32\oembios32.dll (file missing)
O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\GGOTSK~1.000\LOCALS~1\Temp\winlogon.exe
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\GGOTSK~1.000\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
DeleteFile('System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\DOCUME~1\GGOTSK~1.000\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(11);
RebootWindows(true);
end.
[/code]
сделайте такой лог .. [url]http://virusinfo.info/showthread.php?t=10387[/url]
Сделал лог заново после выполнения скриптов.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('System32\DRIVERS\smtpdrv.sys');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите лог ...
сделал
попробуйте сделать логи в обычном режиме ...
Не могу - все так же постепенно виснет. Т.е. через некоторое время перестает реагировать на десктоп, потом на пуск..
Выполните из безопасного:
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\nusrmgr.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
Один из антивирусов надо деинсталлировать (Dr.Web or TrendScan).
После этого должно полегчать.
Dr web не удаляется из safe mode,пишет не найден ctor.dll, отключил запуск через msconfig - не помогло
Dr web был поставлен уже после того как система начала виснуть.
Карантин выслал
[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]
Удалил веб запустив инсталяцию, вроде загрузился и работает, странно:). Спасибо за помощь.
C:\WINDOWS\system32\nusrmgr.exe - [B]Trojan Horse[/B] (Symantec)
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\nusrmgr.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ..
В дополнение: после скрипта V_Bond войдите в AVZ в Сервис - Менеджер ActiveSetup и удалите строчку с упоминанием этого файла.
логи
Выполнить скрипт:
[CODE]begin
DelCLSID('Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666');
end.[/CODE]
Если все нормально, то вылечились. Единственное, что надо дырки закрыть.
Ура, спасибо :)
Что из этого не нужно? Скажите, напишем скрипт для закрытия.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\nusrmgr.exe - [B]Hoax.Win32.Renos.kk[/B][/LIST][/LIST]