При попытке создать новое подключение недоступны пункты меню "Через высокоскоростное подключение, запрашивающее имя пользователя и пароль." Также не запускается служба "Диспетчер подключений удаленного доступа". Выскакивает ошибка "Ошибка 193:0xc1"
Printable View
При попытке создать новое подключение недоступны пункты меню "Через высокоскоростное подключение, запрашивающее имя пользователя и пароль." Также не запускается служба "Диспетчер подключений удаленного доступа". Выскакивает ошибка "Ошибка 193:0xc1"
[url]http://support.microsoft.com/default.aspx?scid=kb;en-us;Q812486[/url]
Высылаю логи. Поиогите пожалуйста!
Да нормально там все с путями. В реестре написано %SystemRoot%\system32\svchost.exe -k netsvcs, там оно и лежит
а syscure где?
В папке Windows *syscure*.* нет. Или я не то ищу?
[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]
Пардон счас
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Высылаю syscure
1.Выключить монитор kaspersky
2. AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Ксю\Клипы и проги\BitComet\tools\BitCometBHO.dll','');
QuarantineFile('C:\WINDOWS\system32\swfmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\ksdmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\jfgmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\cfgdxt.dll','');
QuarantineFile('C:\WINDOWS\system32\brwmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\appmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\zlcocard.dll','');
QuarantineFile('C:\WINDOWS\system32\wmadmsst.dll','');
QuarantineFile('C:\WINDOWS\system32\sfcfdmsc.dll','');
QuarantineFile('C:\WINDOWS\system32\sbeddem.dll','');
QuarantineFile('C:\WINDOWS\system32\osunuxth.dll','');
QuarantineFile('C:\WINDOWS\system32\atkcadpt.dll','');
QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\~hnlo61.exe','');
QuarantineFile('C:\WINDOWS\system32\~ksdperf.exe','');
QuarantineFile('C:\WINDOWS\system32\~hnlo61.exe','');
QuarantineFile('C:\WINDOWS\system32\~mx9pw56.exe','');
QuarantineFile('C:\WINDOWS\system32\~swfperf.exe','');
QuarantineFile('C:\WINDOWS\system32\~uvg6f0.exe','');
QuarantineFile('C:\WINDOWS\system32\~hnlo61.exe','');
DeleteFile('C:\WINDOWS\system32\~ksdperf.exe');
DeleteFile('C:\WINDOWS\system32\~hnlo61.exe');
DeleteFile('C:\WINDOWS\system32\~mx9pw56.exe');
DeleteFile('C:\WINDOWS\system32\~swfperf.exe');
DeleteFile('C:\WINDOWS\system32\~uvg6f0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Похоже на свежий вариант почтового червяка, загрузить карантин по правилам, будем продолжать.
Огроменное спасибо счас попробую
1. Отключите восстановление системы!
2. Пофиксите в HijackThis:
[code]
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Documents and Settings\Администратор\Мои документы\Ксю\Клипы и проги\BitComet\tools\BitCometBHO.dll (file missing)
O20 - Winlogon Notify: ansmgr - ansmgr32.dll (file missing)
O20 - Winlogon Notify: appmgr - appmgr32.dll (file missing)
O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\system32\atkcadpt.dll (file missing)
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: deiconf - cfgdei.dll (file missing)
O20 - Winlogon Notify: dssconf - cfgdss.dll (file missing)
O20 - Winlogon Notify: dxtconf - cfgdxt.dll (file missing)
O20 - Winlogon Notify: fsdconf - cfgfsd.dll (file missing)
O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
O20 - Winlogon Notify: ksdmgr - ksdmgr32.dll (file missing)
O20 - Winlogon Notify: osunuxth - C:\WINDOWS\system32\osunuxth.dll (file missing)
O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll (file missing)
O20 - Winlogon Notify: sfcfdmsc - C:\WINDOWS\system32\sfcfdmsc.dll (file missing)
O20 - Winlogon Notify: swfmgr - swfmgr32.dll (file missing)
O20 - Winlogon Notify: wmadmsst - C:\WINDOWS\system32\wmadmsst.dll (file missing)
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O20 - Winlogon Notify: zlcocard - C:\WINDOWS\system32\zlcocard.dll (file missing)
[/code]
3. Проверьте, не отключена ли служба Телефония.
После перегрузки монитор включить, если сам не включиться. Желательно скачать последнею версию касперского,а старую удалить.
" 7 " больше ловит при правильном подходе.
Сделал. Пока все тоже.
И еще в четвертой строке скрипта наверное не все вместилось?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Не фиксил пока. Предидущее сообщение игнорируем.
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
Пока ничего не изменилось. У меня KIS 6-ой. Молчит.
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Телефония стояло а Авто но не работала. Вручную запустилась. Диспетчер никак.
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
Запустил проверку моего компутера, может чего найдет?
[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]
Пятница. Не до меня....
[QUOTE=pantv;147065]Пятница. Не до меня....[/QUOTE]
Загрузите карантин туда: [url]http://virusinfo.info/upload_virus.php?tid=13803[/url]
Это который файл или все три?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Отправил virusinfo_syscure.zip правильно?
[QUOTE=pantv;147091]Это который файл или все три?[/QUOTE]
приложение 3 правил, что то из запрошенного тут - [url]http://virusinfo.info/showpost.php?p=147059&postcount=9[/url] в карантин попало?
Я не понял и выполнил скрипт по ссылке. Теперь рабочий стол не грузиться. Только заставка. Пробую в сэйв моде грузиться.
[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]
Загрузился нормально, но диспетчер все равно не запускается.
Шлю карантин.
Наверное не будет меня до понедельника. (дети плачуть) Всем огромное спасибо.
Согласно касперскому:
Email-Worm.Win32.Warezov.tg
Email-Worm.Win32.Warezov.th
Email-Worm.Win32.Warezov.ti
Email-Worm.Win32.Warezov.tj
Email-Worm.Win32.Warezov.tk
Email-Worm.Win32.Warezov.tl
обновлять базы и вперёд :[url]http://virusinfo.info/showthread.php?t=12112[/url]
Вот этот скрипт выполнить (avz)- стол должен вернуться:
[code]
begin
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Добрый день! Продолжим?
[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]
Сканирую мой компьютер. Правда у меня KIS6.
Если выполнили последний совет [b]drongo[/b],
сделайте новые логи, посмотрим, что осталось.
Вот некоторые выдержки из отчета КИСа
не найдено: троянская программа Trojan.Win32.Pakes Модуль: winlogon.exe\ole2.dll
удалено: вирус Email-Worm.Win32.Warezov.et Файл: C:\WINDOWS\system32\~3.tmp.exe
удалено: троянская программа Trojan.Win32.Agent.aia Файл: C:\WINDOWS\system32\~qmflodjm.exe/PE_Patch.UPX/UPX
обнаружено: вредоносная программа Exploit.Win32.MS05-013.d Скрипт: [url]http://www.mp3chudo.ru/cata/10/9/[/url][6]
Могу выслать полные отчет если нужно.
[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]
Жду окончания сканирования. Потом логи вышлю.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 46 минут[/I][/B][/color][/size]
Отправил логи. Сообщите о получении.
Логов не видно.
Может к сообщению присоединить?
Да
Высылаю
В логах ничего плохого не заметил: проблема исчезла?
И еще:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из этого Вам не нужно?
Компьютер домашний. Одна сотрудница притащила из дома. Проблема не исчезла. Смысл в том что она не может подключится к интернету, нельзя создать новое подключение на ADSL. Недоступы кнопки. Это из-за того что не запускается "Диспетчер подключений удаленного доступа". Я подозреваю что тут что то надо восстанавливать в системе.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Попробовал остановить службу "Удаленный реестр"
"Не удалось остановить службу "Удаленный реестр" на Локальный компьютер ошибка 1053: Служба не ответила на запрос своевременно.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Служба терминалов - строка меню "Стоп" недоступна.
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 0 минут[/I][/B][/color][/size]
Что делать?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Пробую запустить службу "Службы IPSEC" - "не удается найти указанный файл"
Скажите какие службы не нужны, мы Вам напишем скрипт
>> Пробую запустить службу "Службы IPSEC" - "не удается найти указанный файл"
Проверьте наличие файла:
C:\WINDOWS\system32\lsass.exe
Если нету - скопируйте со здоровой системы или вытащите из дистрибутива.
Файл на месте. Может попробовать с другой машины взять. А может там какой нибудь dll-ки не хватает.
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Я думаю что это все не нужно.
[code]
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
Службы отключились. А диспетчер подключений удаленного доступа все равно не включается.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]49[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{cc7b7d38-e0f0-42ff-8d3d-8242b15b619d}\\rp25\\a0011381.exe - [B]Email-Worm.Win32.Warezov.tg[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\~hnlo61.exe - [B]Email-Worm.Win32.Warezov.th[/B] (DrWEB: Win32.HLLM.Limar.2220)[*] c:\\windows\\system32\\~ksdperf.exe - [B]Email-Worm.Win32.Warezov.ti[/B] (DrWEB: Win32.HLLM.Limar.2220)[*] c:\\windows\\system32\\~mx9pw56.exe - [B]Email-Worm.Win32.Warezov.tj[/B] (DrWEB: Win32.HLLM.Limar.2220)[*] c:\\windows\\system32\\~swfperf.exe - [B]Email-Worm.Win32.Warezov.tk[/B] (DrWEB: Win32.HLLM.Limar.2220)[*] c:\\windows\\system32\\~uvg6f0.exe - [B]Email-Worm.Win32.Warezov.tl[/B] (DrWEB: Win32.HLLM.Limar.2220)[/LIST][/LIST]