Перезагруз компа.

Printable View

26.09.2008, 16:13
Luka_

Перезагруз компа.

При выполнеии стандартного скрипта №3, комп уходит в перезагруз.
выкладываю оставшиеся логи.
26.09.2008, 16:27
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\xadlajbz.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
DeleteFile('C:\WINDOWS\xadlajbz.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
26.09.2008, 16:53
Luka_

Скрипт не выполняется, комп идет в перезагруз, скорее всего после выполнения второй строчки скрипта. Соответственно в карантине пусто.
Все почистил. Выкладываю логи.

HiJackthis фиксить не надо например эти строчки ? :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O4 - HKLM\..\Run: [xadlajbz] %systemroot%\xadlajbz.exe
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
26.09.2008, 17:08
Rene-gad

Логи без скрипта - до фени, удалите их (Мой кабинет/Вложения)
Фиксить будем, но не сейчас.
Удалите из скрипта строку
[CODE]SearchRootkit(true, true);[/CODE]
26.09.2008, 17:34
Luka_

Скрипт выполнен. Логи выкладываю.
Карантин отправил.

После выполнения скрипта при загрузке компа, выходит ошибка vhosts.exe вызвало проблему.
На вашем форуме видел проблему с указанным файлом и его лечением.
Еще постоянно при загрузке выкидывает на проблему чтения или записи памяти по разным адресам.
26.09.2008, 17:46
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g8rdxtestsrv01/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g8rdxtestsrv01/
O14 - IERESET.INF: START_PAGE_URL=http://g8rdxtestsrv01/
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\vhosts.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\vhosts.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
26.09.2008, 17:51
Luka_

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://g8rdxtestsrv01/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://g8rdxtestsrv01/[/url]
O14 - IERESET.INF: START_PAGE_URL=http://g8rdxtestsrv01/
Данные нужны, прописываются политиками.
26.09.2008, 17:51
Rene-gad

[QUOTE=Luka_;289491]
Данные нужны, прописываются политиками.[/QUOTE]ОК, тогда оставьте.
26.09.2008, 18:19
Luka_

Логи и каратин выкладываю.
26.09.2008, 18:27
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('TVTRRLNT');
QuarantineFile('C:\WINDOWS\system32\drivers\TVTRRLNT.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\TVTRRLNT.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('TVTRRLNT');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи по правилам.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
29.09.2008, 10:59
Luka_

Карантин закачал, скрипт выполнен. Только пришлось строку SearchRootkit(true, true); удалить, комп опять пошел почему то в перезагруз.
29.09.2008, 11:05
Rene-gad

[QUOTE=Luka_;290281]Только пришлось строку SearchRootkit(true, true); удалить, комп опять пошел почему то в перезагруз.[/QUOTE]Вы бы лучше согласно правилам Антивирус и Файрвол выгрузили.
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\drivers\TVTRRLNT.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Потом повторите последний скрипт.
29.09.2008, 11:12
Luka_

[quote=Rene-gad;290283]
[code]C:\WINDOWS\system32\drivers\TVTRRLNT.sys
[/code]
[/quote]
Этот файл выслал по правилам, в карантин он попал, после перезагрузки.
Но на всякий случай проверю. Антивирусы выключаю службу.

Выкладываю логи. Файл не обнаружен. Комп все равно периодически перегружается :(
29.09.2008, 17:16
Rene-gad

[QUOTE=Luka_;290288]Файл не обнаружен. [/QUOTE]Как Вы его ищете? Он в логах виден.