Здравствуйте!
У меня не запускается Windows, зависает после введения пароля... Запускается только в "Безопасном режиме"...
До возникновения этой проблемы антивирус DrWeb нашел какой-то вирус и удалил какие-то файлы, по-моему...
Printable View
Здравствуйте!
У меня не запускается Windows, зависает после введения пароля... Запускается только в "Безопасном режиме"...
До возникновения этой проблемы антивирус DrWeb нашел какой-то вирус и удалил какие-то файлы, по-моему...
бесполезно, правила выполнены не верно !
Придётся переделывать. Пункт 3 правил выполнить ! также добавить лог по этому [url]http://virusinfo.info/showthread.php?t=10387[/url] . Старые логи авз удалить.
@SergeyGorch Надо уменьшить количество стартующих программ при запуске системы. Это можно сделать через AVZ.
[quote=drongo;118795]бесполезно, правила выполнены не верно !
Придётся переделывать. Пункт 3 правил выполнить ! также добавить лог по этому [URL]http://virusinfo.info/showthread.php?t=10387[/URL] . Старые логи авз удалить.[/quote]
Все переделал. Добавил еще дополнительный лог под именем avz extralog.zip
[quote=PavelA;118798]@SergeyGorch Надо уменьшить количество стартующих программ при запуске системы. Это можно сделать через AVZ.[/quote]
А как это сделать? Можете рассказать поточнее?
и еще... у меня ведь раньше то все работало...
Это Trend Micro:
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
а это от Доктора Веба:
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
Не нужен этот агент:
O4 - HKLM\..\Run: [WinampAgent] d:\Program Files\Winamp\winampa.exe
Логи посмотрим. Скажем еще чего убрать.
[quote=PavelA;118815]Это Trend Micro:
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
а это от Доктора Веба:
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
Не нужен этот агент:
O4 - HKLM\..\Run: [WinampAgent] d:\Program Files\Winamp\winampa.exe
Логи посмотрим. Скажем еще чего убрать.[/quote]
Спасибо! Убрал... попробую запуститься
Убирать команды не было. Если убрал О10 от Доктора Веба, то может сломаться сеть.
[quote=PavelA;118822]Убирать команды не было. Если убрал О10 от Доктора Веба, то может сломаться сеть.[/quote]
Поспешил, каюсь, но сеть вроде бы работает...
Результат такой, рабочий стол загрузился, но все иконки мертвые, не запускается вообще ничего.
в AVZ выполнить скрипт:
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('c:\office_patch.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Шind??ѕ ?e§ќt?р Se?яcђ.lnk','');
end.[/CODE]
Прислать по Правилам карантин.
Что это за ерунда в автозагрузке прописана?
[quote=PavelA;118826]в AVZ выполнить скрипт:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('c:\office_patch.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Шind??ѕ ?e§ќt?р Se?яcђ.lnk','');
end.[/code]
Прислать по Правилам карантин.
Что это за ерунда в автозагрузке прописана?[/quote]
Если бы понимал, то ответил бы, что это такое прописано... но, к сожалению не разбираюсь...
Написал же: Карантин сюда не грузить!!!
Удалить и загрузить [url]http://virusinfo.info/upload_virus.php?tid=10681[/url]
Этот линк из Автозапуска в Карантин не попал.
Через Ctrl+Alt+Del запустить AVZ и сделать логи в норм. режиме.
[quote=PavelA;118833]Написал же: Карантин сюда не грузить!!!
Удалить и загрузить [URL]http://virusinfo.info/upload_virus.php?tid=10681[/URL]
Этот линк из Автозапуска в Карантин не попал.
Через Ctrl+Alt+Del запустить AVZ и сделать логи в норм. режиме.[/quote]
а все те же два лога делать, которые я в самом начале делал?
Угу. И хиджака тоже.
[quote=PavelA;118845]Угу. И хиджака тоже.[/quote]
все выполнил еще раз
Написал: в нормальном режиме через диспетчер задач запустить AVZ и сделать логи. А Вы опять в Safe Mode.
Вариант номер 2: в Safe Mode заводим пользователя. При загрузке выбираем его и грузимся в нормальном режиме. Далее логи.
[quote=PavelA;118866]Написал: в нормальном режиме через диспетчер задач запустить AVZ и сделать логи. А Вы опять в Safe Mode.
Вариант номер 2: в Safe Mode заводим пользователя. При загрузке выбираем его и грузимся в нормальном режиме. Далее логи.[/quote]
Попробую вариант 2, так как в нормальном режиме не загружается... зависает на картинке рабочего стола и все неактивное...
Вариант 2 тоже не получается... я как только ввожу пароль в любого пользователя, то на приветствии все и зависает...
могу запустить Windows только в безопасном режиме. Что же делать?!
Попробуем так. Временно профиксим:
[CODE]
O4 - Global Startup: Шind??ѕ ?e§ќt?р Se?яcђ.lnk
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
[/CODE]
Сервисы можно просто сделать "Disable".
А как получился лог хиджака с запущенным IE? В Safe Mode он не может запускаться.
[quote=PavelA;119139]Попробуем так. Временно профиксим:
[code]
O4 - Global Startup: Шind??ѕ ?e§ќt?р Se?яcђ.lnk
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
[/code]
Сервисы можно просто сделать "Disable".
А как получился лог хиджака с запущенным IE? В Safe Mode он не может запускаться.[/quote]
Я прошу прощения, а что значит профиксим? куда нужно воодить этот скрипт?
а хиджак запускается у меня... я ведь только в безопасном режиме и могу запуститься.
И как сделать Disable сервисам, в какой программе?
Все просто - запускаем HijackThis, делаем скан. Отмечаем нужные строчки и нажимаем "Fix".
Отключать сервисы можно через "Панель управления" -"Администрирование" - "Сервисы". Выделяем нужный, правая клавиша "Свойства", тип запуска "отключить".
Это все расписано в разделе "Чаво"
Спасибо!
но еще один вопрос... а какие сервисы нужно отключать?
Те строчки, в которых после номера стоит слово "Service".
[quote=PavelA;119156]Те строчки, в которых после номера стоит слово "Service".[/quote]
не хочу показаться глупым... но, когда я вхожу в папку "Администрирование" у меня в ней должна быть папка "сервисы"?
у меня такой нет, есть "Службы", Службы компонентов", но ничего похожего на "Сервисы"
Службы - оно и есть. Привык просто к англицкому названию.
Спасибо!
Сейчас попробую...
Павел! Спасибо огромное!!!!!!! все получилось и заработало!
скажите, пожалуйста, а какой антивирус мне нужно установить, чтобы е проверялось автоматически? DrWeb будет достаточно?
А восстановлени системы нужно включить обратно?
Два раза "да" на последние вопросы. Плюс общие ркеомендации по безопасности, как то:
- ходить в интернет из-под ограниченного пользователя
- ходить в интернет с помощью FireFox или Opera
- регулярно ставить заплатки на Windows
@SergeyGorch Делай логи в норм. режиме.
Изучу, скажу, что лишнее удалить.
Слишком большая куча антивирусных программ установлено, да и не только их.
[quote=PavelA;119218]@SergeyGorch Делай логи в норм. режиме.
Изучу, скажу, что лишнее удалить.
Слишком большая куча антивирусных программ установлено, да и не только их.[/quote]
Вот сделал логи в нормальном режиме
@SergeyGorch Смотреть буду в понедельник.
[quote=PavelA;119310]@SergeyGorch Смотреть буду в понедельник.[/quote]
Спасибо огромное!
1.Какие программы прописаны в "Автозагрузке" ("Пуск" -- Программы -- "Автозагрузка")?
2.На машине было три фаервалла. Вот после удаления вирусов они и законфликтовали. Проверь работоспособность Доктора Веба проверкой всего диска.
3. iamServ - Службу с таким именем тоже можно поставить в "Отключено"
Для окончательной разборки.
[quote=PavelA;119773]1.Какие программы прописаны в "Автозагрузке" ("Пуск" -- Программы -- "Автозагрузка")?
2.На машине было три фаервалла. Вот после удаления вирусов они и законфликтовали. Проверь работоспособность Доктора Веба проверкой всего диска.
3. iamServ - Службу с таким именем тоже можно поставить в "Отключено"
Для окончательной разборки.[/quote]
В автозагрузке прописаны:
Adobe Reader Speed Launch
MegaFon InternetConnect
Microsoft Office
Быстрый запуск AutoCad
и абракадабра какая-то, похожая на Windows Desktop Search
Остальное сейчас обязательно сделаю
[QUOTE=SergeyGorch;119813]В автозагрузке прописаны:
.....
и абракадабра какая-то, похожая на Windows Desktop Search
[/QUOTE]
Очень странно, что ярлык на него так странно выглядит.
Кстати, можно попробовать восстановить работу служб от Trend Micro.
Снова перевести их в ручной режим и перезагрузиться.
Я его фаервалл никогда не щупал, поэтому по нему советов не дам.
Мораль сей басни такова: должен быть 1 файрвол, 1 антивирус. А люди этого не понимают.
[quote=drongo;119851]Мораль сей басни такова: должен быть 1 файрвол, 1 антивирус. А люди этого не понимают.[/quote]
Да все потому, что мы простые юзеры :)
Я пока с Вами не пообщался, многое вообще не знал и не понимал...
И вообще, ребят, спасибо Вам огромное!
[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
[quote=PavelA;119850]Очень странно, что ярлык на него так странно выглядит.
Кстати, можно попробовать восстановить работу служб от Trend Micro.
Снова перевести их в ручной режим и перезагрузиться.
Я его фаервалл никогда не щупал, поэтому по нему советов не дам.[/quote]
А можно я не буду с Тренд Микро экспериментировать? :)
А можно этот десктоп серч удалить или он нужен?
И спасибо огромное за помощь!
[QUOTE='SergeyGorch;119865']А можно я не буду с Тренд Микро экспериментировать?
А можно этот десктоп серч удалить или он нужен?[/QUOTE]
Можно.
[QUOTE='SergeyGorch;119865']И спасибо огромное за помощь![/QUOTE]
Пожалуйста. Заходите еще, будем рады еще помочь.
[quote=PavelA;119960]Можно.
Пожалуйста. Заходите еще, будем рады еще помочь.[/quote]
Павел,
это снова я... У меня вот какой вопрос DrWeb находит в папке avz в карантине и в инфектед вирус... мне нужно удалить то, что он находит из этих папок?
Удаляйте. Это отработанный материал для нас, баласт для Вас.