-
сделаю,
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
в безопасном режиме юзер запустил cureit машина перезругилась произвольно
-
Выполняйте это:
[url]http://virusinfo.info/showpost.php?p=173557&postcount=19[/url]
Похоже единственный шанс.
-
смогу сделать это только завтра
-
Попробуйте полечиться AVPTool [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url]
-
Смог пролечить машину в безопасном режиме с помошью cureit.exe
(я переименовл ее и запускал с cd-диска)
она определила pqr50.sys как Trojan.NtRootKit.527
после перезагрузки в обычный режим AVZ без проблем сделал логи
-
а вот сетевые диски стали не доступны в результате этой "битвы"
-
все чисто .... 222 в автозапуске ваши ?
почистим мусор ...
выполните скрипт ...
[code]
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
[/code]
пофиксите ...
[code]
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
[/code]
-
-
hijackthis.log -сделайте ...
-
-
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.
-
выполнил, все прошло нормально - ничего не просила никак не ругалась
(а вот netbios у меня слетел, что-нибудь посоветуйте)
-
Не думаю, что проблема в нетбиосе... Попробуйте такой скриптик:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 0);
RebootWindows(true);
end.[/code]
-
Выполнил не помогло
просто приведу факты (характерные только для этой машины у других все нормально)
1. в настройках сетевого интерфейса netbios включен (всем машинам сервер по dhcp раздает ip wins-сервера), служба доступа к файлам и принтерам установлена
2. net use x: \\servre\share вызывает системную ошибку 1231
3. ipconfig /all показывает что "netbios через tcp/ip" отключен, нет wins-сервера, хотя его ip прописал уже ручками в доп параметрах протокола tcp/ip
4. в реестре видно что служба netbios должна стартовать
5. а в системном логе вот такая ошибка:
Тип события: Предупреждение
Источник события: DnsApi
Категория события: Отсутствует
Код события: 11191
Дата: 18.01.2008
Время: 14:10:56
Пользователь: Н/Д
Компьютер: чччч-XP
Описание:
Не удалось обновить и удалить записи ресурсов (RR) указателей (PTR)
для сетевого адаптера с параметрами:
Имя адаптера: {4D229ACD-1F65-42EB-976D-7FE76DA5E941}
Имя узла: ччч-xp
Суффикс домена этого адаптера: ххх.local
Список DNS-серверов:
192.168.0.2
Отправка обновления на сервер: <?>
IP-адрес: 192.1.1.1
Не удалось удалить эти записи PTR RR из-за системной ошибки. Код конкретной ошибки содержится в отображаемых ниже данных.
Данные:
0000: 51 27 00 00 Q'..
192.1.1.1 вообще что-то левое - но такое я сегодня где-то в гуглах видел
народ советует не обращать внимания, для себя решения пока не нашел
6.бредмауер отключен, антиврусов нет, прочих файрволов тоже
зыж
(простите если гружу вас не по теме - от вирусной тематики мы ушли в сторону :)
если нужно прекратить оффтоп, скажите - я понятливый :) но не догадливый :):):))
-
[url]http://www.microsoft.com/technet/scriptcenter/topics/networking/06_atnc_wins.mspx[/url]
-
эпопея продолжается :(
cureit в безопасном режиме обнаружил Trojan.Packed.194 в ...\system21\rt25.exe и
NtRootKit.527 в \system32\symavc32.sys
вот логи
-
Ничего подозрительного не видно. Наверно Cureit сам справился.
Можно мусор пофиксить в HijackThis:
[code]
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
[/code]
-
спасибо большое за помощь
Page generated in 0.00337 seconds with 10 queries