автоматическая перезагрузка XP

Printable View

28.08.2008, 21:19
Awdik

Вложений: 3

автоматическая перезагрузка XP

Здравствуйте.
у меня
WinXP уходит в перегрузку сразу после прорисовки рабочего стола
28.08.2008, 21:44
Awdik

мммм ?
28.08.2008, 22:19
V_Bond

пофиксите ...
[code]
F2 - REG:system.ini: UserIni=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
[/code]
архивы авз битые ...
29.08.2008, 06:42
Awdik

Вложений: 3

пофиксил, но строка появилась вновь...
логи прилагаю
29.08.2008, 10:03
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\VRMTTQKW.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\tsmoxxit.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\BJZRRZZR.sys','');
QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc86.sys','');
DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc86.sys');
DeleteFile('C:\WINDOWS\system32\drivers\BJZRRZZR.sys');
DeleteFile('C:\WINDOWS\system32\drivers\tsmoxxit.sys');
DeleteFile('C:\WINDOWS\system32\drivers\VRMTTQKW.sys');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DeleteFile('C:\WINDOWS\system32\oembios.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=29172[/url]).

[b]Обновите базы AVZ![/b]
Сделайте новые логи, если возможно - в нормальном режиме.
29.08.2008, 11:05
Awdik

карантин сохранён как
080829_020325_virus_48b79f3d60ba0.zip
29.08.2008, 11:18
Rene-gad

А где логи?
29.08.2008, 11:27
Awdik

Вложений: 3

а вот и логи
29.08.2008, 11:32
Rene-gad

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не выключен установленный антивирус.[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O18 - Filter hijack: text/html - (no CLSID) - (no file)
[/CODE]

- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.
29.08.2008, 11:36
Awdik

ван момент, переделаю конечно.
странно... на момент сбора логов антивирус выключал;
как перешел к пункту 14, тогда и включил а\вирус
29.08.2008, 11:46
Awdik

Вложений: 2

[I]O18 - Filter hijack: text/html - (no CLSID) - (no file)[/I]

- не фиксится по ходу...
29.08.2008, 12:02
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(9);
executerepair(11);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки попробуйте пофиксить.
29.08.2008, 12:39
Awdik

Вложений: 3

[I]О18[/I] - не фиксится по-прежнему.

но работа системы пока нормализовалась, сбоев вроде нет
29.08.2008, 13:07
Rene-gad

Скачайте Malwarebytes Antimalware, полный скан , ничего не удалять, лог -в студию.
29.08.2008, 13:39
Awdik

а может ссылку дадите
29.08.2008, 13:43
Rene-gad

[QUOTE=Awdik;276405]а может ссылку дадите[/QUOTE]А [url]www.google.ru[/url] у Вас тоже не работает? scnr.
[url]http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html[/url]
29.08.2008, 14:17
Awdik

Файл сохранён как 080829_051639_mbam-log-08-29-2008 (16-13-26)_48b7cc873423e.zip
29.08.2008, 14:46
Rene-gad

[QUOTE=Awdik;276437]Файл сохранён как 080829_051639_mbam-log-08-29-2008 (16-13-26)_48b7cc873423e.zip[/QUOTE]Где сохранен???Его сюда к сообщению надо прикрепить, паковать не надо.
29.08.2008, 14:51
Awdik

Вложений: 1

сделано
29.08.2008, 14:54
Rene-gad

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\shell31.dll','');
QuarantineFile('C:\WINDOWS\system32\wpx5.cpx','');
QuarantineFile('C:\WINDOWS\system32\lich.dat','');
DeleteFile('C:\WINDOWS\system32\shell31.dll');
DeleteFile('C:\WINDOWS\system32\wpx5.cpx');
DeleteFile('C:\WINDOWS\system32\lich.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=29172[/url]).
Попробуйте пофиксить О18-запись.
29.08.2008, 15:33
Awdik

после перезагрузки, нормальные режим не прогружается, система замирает, прогрузив обои, на 3 кнопки не реагирует.

из защищенного режима...
О18 - не фиксится по-прежнему
[COLOR="Red"]накажу, еще раз каранитн в тему влепите!!![/COLOR]

пардон -
карантин сохранён как 080829_063403_virus_48b7deab2a223.zip
29.08.2008, 15:34
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(1);
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
29.08.2008, 15:50
Awdik

загрузился нормальный режим.
рабочий стол без обоев.
29.08.2008, 15:52
Rene-gad

Обновите базы установленного антивируса и просканьте всю систему с максимальными настройками. Если чего найдет - скажите нам.
Запустите АВЗ, Файл/Мастер поиска и устранения проблем/Системный проблемы, запустить поиск, все отметить, Выполнить.
29.08.2008, 16:02
Awdik

он ругается (отлавливает\блокирует) периодически Cookie\Yadro при перезагрузке.
сейчас полное сканирование запущу
29.08.2008, 16:05
Rene-gad

[QUOTE=Awdik;276523]
сейчас полное сканирование запущу[/QUOTE]Перед зтим отключите системное восстановление и [url="http://virusinfo.info/showthread.php?t=10025"]очистите[/url] темп-папки, кэш проводников, cookies и корзину.
29.08.2008, 16:38
Awdik

как-то эти сообщения парами всегда ходят, их монитор а\вируса отрабатывает:

Обнаружена программа-шпион: Cookie/Yadro 29/08/08 18:30:36 - Уничтожен Размещение: c:\documents and settings\галина полиектовна\cookies\галина [EMAIL="полиектовна@yadro"]полиектовна@yadro[/EMAIL][1].txt
Подозрительная операция 29/08/08 18:29:58 - Заблокирован Приложение: C:\PROGRAM FILES\MAIL.RU\AGENT\MAGENT.EXE

MAGENT действительно инфицирован или это а\вирус его так опознает?

а полная проверка дисков ничего не находит.
- восстановление системы отключено
- очистку сделал ср-ми авз
- антивирусная база от 28.08.2008
29.08.2008, 16:43
Rene-gad

[QUOTE=Awdik;276538]
MAGENT действительно инфицирован или это а\вирус его так опознает?[/QUOTE]Пошлите файл в техподдержку Панды - посмотрите на их сайте как это нужно сделать.
В моем понимании это ложняк.
29.08.2008, 17:29
Awdik

похоже, в остальном все чисто
спасибо Вам большое, с поклоном
22.02.2009, 07:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\bjzrrzzr.sys - [B]Rootkit.Win32.Agent.cvk[/B] (DrWEB: Trojan.NtRootKit.1446)[*] c:\\windows\\system32\\drivers\\vrmttqkw.sys - [B]Rootkit.Win32.Agent.cun[/B] (DrWEB: Trojan.Sentinel.135)[*] c:\\windows\\system32\\oembios.exe - [B]Trojan-Spy.Win32.Zbot.eev[/B] (DrWEB: Trojan.Proxy.3780)[/LIST][/LIST]