Printable View
через пару часов работы выдает ошибку NT Authority system и происходит остановка службы services.. таймер и через 60 секунд перезагрузка. Проблема началась после перевода машин на другую сетку (вывод из домена, замена симантек на аваст)..
Проблема на 3 компах ХР - 2 компа СП3 и 1 СП2..
Когда делал логи не смог выгрузить аваст, просто остановил...
Сразу предупрежу: разные компы в разные темы.
В логах только кусочек Симантека виден, от него у Вас что-то работает?
Выполнить:
[CODE]begin
QuarantineFile('%systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs','');
end.[/CODE]
Пришли карантин по [url]http://virusinfo.info/upload_virus.php?tid=42651[/url]
Нет! Стоял симантек, терь его нету!
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
после выполнения скрипта карантин пустой! Пишет что скрипт выполнен без ошибок.
могу файл прислать!
В карантин же AVZ autorun.inf засунул с диска D. Как же его там нет?
Через AVZ поиском по диску поищи файл,указанный в скрипте. Если найдется, то в карантин его и сюда на исследование.
Интересная вестчь...Файл на диске есть....AVZ через поиск его находит, выделяю (галочкой), жму "Копировать отмеченные файлы в карантин@, а в карантине тока авторан с диска D.....или я где-то туплю??
Выполнить:
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('%systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки пришли карантин.
отправил
[B]autorun.inf[/B] - Trojan-GameThief.Win32.OnLineGames.zll
Выполнить скрипт:
[CODE]begin
DeleteFile('e:\t.com');
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs');
DeleteService('SYMIDSCO');
DeleteFile('C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\SCFIDS~1\20060807.097\symidsco.sys');
DeleteFile('C:\Documents and Settings\slim\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Профиксить:
[CODE]O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')[/CODE]
Сделать заново логи.
сделал
ой...сорри! не пофиксил....ща перешлю лог
вот!
В AVZ установить AVZPM, перезагрузиться и повторить логи.
Включил
вот нашел такую же проблему!
[URL]http://virusinfo.info/showthread.php?t=42420&highlight=1073741819[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]
Сам файл services.exe отличается по размеру от аналогичного файла на стабильно работающей машины... Может есть вероятность его подмены???
В предыд логе была вот такая строчка:
>>>> Обнаружена маскировка процесса 2268 C:\WINDOWS\system32\wuauclt.exe
В последних она исчезла. Это мне не нравится.
Файл services.exe м.б. разным, там же разные СП стоят. Кстати, после установки СП3
часто данная ошибка исчезает.
с СП 3 некорректно работают интерфейсы некоторых сетевых принтеров... с СП 2 таких проблем нет, по этому СП 3 не могу поставить...
А так ниче сделать нельзя?
Пришлите его согласно приложению 2 правил...
Кого "Его"?
services.exe
Во! Подловил! Короче ошибка следующая:
Инструкция по адресу 0x6f95baec обратилась к памяти по адресу 0x027e0328. Память не может быть "read"...
После того, как я сейчас нажму OK выскачет окошко с ошибкой, которое я описывал в самом начале! сейчас делаю скрипт №3! Попробую остановить перезагрузку и сделать еще 1 лог! Или не надо?
вот лог до того как я нажал ОК