Компьютер самопроизвольно отключается

[ghostil]

да, совершенно верно!
хм, я выполнял скрипт на рабочей ОС, сейчас выполню в безопасном режиме, может, что изменится

[Bratez]

Скрипт выполнять на проблемной!!! И перезагрузка после скрипта - в проблемную!
Потом карантин и новый доп. лог в студию.

[ghostil]

будет исполнено! Извините за глуповатость в этом деле!:-)

[ghostil]

Выполнил скрипт на проблемной ОС в Безопасном режиме - не помогло. Загружаюсь на проблемной ОС в нормальном режиме - перезагружается. Поэтому сделал дополнительный лог и карантин в безопасном режиме на проблемной ОС. Карантин закачал и вот лог.

[Bratez]

1. А где *.dat файлы из карантина? Антивирус съел??
2. Лог не тот запаковали, надо не xml а html.

[ghostil]

вот по поводу карантина - да, наверное, антивирус съел!
Сейчас отправлю html

[ghostil]

вот он

[Bratez]

Положительные сдвиги налицо. А в папке Quarantine антивирус тоже все съел? Что ж он тогда вашу систему не вылечил?

Выполните такой скрипт из безопасного режима:

Код:

begin
 DeleteFile('E:\WINDOWS\system32\_svchost.exe -A');
 DeleteFile('E:\Program Files\WinAble\winable.exe');
 DeleteFile('E:\WINDOWS\System32\lanmanwrk.exe');
 DeleteFile('E:\WINDOWS\System32\ocxloader.exe');
 DeleteFile('E:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('E:\WINDOWS\tsitra801.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Msxt80');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

При перезагрузке входите в нормальный режим и снова пробуйте делать стандартные логи.

[V_Bond]

вдогонку еще выполните такой скрипт...

Код:

begin
 QuarantineFile('E:\WINDOWS\System32\lanmandrv.sys','');
 DeleteFile('E:\WINDOWS\System32\lanmandrv.sys');
 BC_DeleteSvc('lanmandrv');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

[ghostil]

Это радует!:-) Сейчас выполню логи!А по поводу антивируса - не знаю, даже не могу ответить на Ваш вопрос, потому что этот антивирус как-то выборочно лечит, да и не лечит толком, только удаляет. Странно, конечно, ведь Symantes стоит.

Добавлено через 1 минуту

Спасибо за второй скрипт!Сейчас всё выполню!

[ghostil]

Загрузилась ОС. Так что сделал полноценные логи. А карантин закачать?

[V_Bond]

карантин загрузите по ссылке ... http://virusinfo.info/showthread.php?t=12978

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Microsoft Internet Explorer] E:\WINDOWS\system32\_svchost.exe
O20 - Winlogon Notify: partnershipreg - E:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)

Обновите базы AVZ и сделайте логи еще раз.

[ghostil]

карантин закачал :-) И восстановление системы отключил

Добавлено через 3 минуты

сейчас всё сделаю

[ghostil]

Выкладываю получившиеся логи.

[Bratez]

Очистите временные файлы IE.
Выполните скрипт в AVZ:

Код:

begin
DeleteFile('E:\WINDOWS\system32\update281.exe');
DeleteFile('E:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите из карантина AVZ файл
E:\WINDOWS\system32\drivers\ip6fw.sys

Посмотрите, что вам нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Что не нужно - поправим.

[ghostil]

карантин закачал

Добавлено через 2 минуты

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

вот эти 3 нужны

[Bratez]

Ну вот наверно последний скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

И финальные логи - в студию!

[V_Bond]

ip6fw.sys -Trojan-Downloader.Win32.Agent.acl

[ghostil]

А вот и они!Финальные логи!