При запуске в обычном режиме работает секунд 10, потом виснет.
Раньше создавал в реестре ссылку на запуск c:\windows\temp\startdrv.exe.
При запуске в обычном режиме работает секунд 10, потом виснет.
Раньше создавал в реестре ссылку на запуск c:\windows\temp\startdrv.exe.
На всякий случай дополнительный лог
пофиксите ...
выполните скрипт ...Код:02 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file) O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file) O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file) O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file) O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file) O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file) O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file) O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file) O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file) O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file) O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file) O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file) O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file) O2 - BHO: Microsoft copyright - {971D5B7B-F7DF-43ee-B771-6B7FA09975C3} - tcprp.dll (file missing) O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file) O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file) O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file) O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file) O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file) O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file) O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file) O2 - BHO: oembios32.msdn_hlp - {D79E1D43-C805-40EF-8ACB-DFFB17E9A4AF} - C:\WINDOWS\system32\oembios32.dll (file missing) O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file) O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file) O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file) O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\GGOTSK~1.000\LOCALS~1\Temp\winlogon.exe
сделайте такой лог .. http://virusinfo.info/showthread.php?t=10387Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\DOCUME~1\GGOTSK~1.000\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('System32\DRIVERS\smtpdrv.sys',''); DeleteFile('System32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\DOCUME~1\GGOTSK~1.000\LOCALS~1\Temp\winlogon.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; ExecuteRepair(11); RebootWindows(true); end.
Последний раз редактировалось V_Bond; 24.09.2007 в 15:47.
Сделал лог заново после выполнения скриптов.
выполните скрипт ...
повторите лог ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('System32\DRIVERS\smtpdrv.sys'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
сделал
попробуйте сделать логи в обычном режиме ...
Не могу - все так же постепенно виснет. Т.е. через некоторое время перестает реагировать на десктоп, потом на пуск..
Выполните из безопасного:
После перезагрузки пришлите новый карантин по правилам.Код:begin ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\nusrmgr.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Один из антивирусов надо деинсталлировать (Dr.Web or TrendScan).
После этого должно полегчать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Dr web не удаляется из safe mode,пишет не найден ctor.dll, отключил запуск через msconfig - не помогло
Dr web был поставлен уже после того как система начала виснуть.
Карантин выслал
Добавлено через 20 минут
Удалил веб запустив инсталяцию, вроде загрузился и работает, странно. Спасибо за помощь.
Последний раз редактировалось ggeorge82; 24.09.2007 в 17:21. Причина: Добавлено
C:\WINDOWS\system32\nusrmgr.exe - Trojan Horse (Symantec)
повторите логи ..Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\nusrmgr.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
В дополнение: после скрипта V_Bond войдите в AVZ в Сервис - Менеджер ActiveSetup и удалите строчку с упоминанием этого файла.
I am not young enough to know everything...
логи
Выполнить скрипт:
Если все нормально, то вылечились. Единственное, что надо дырки закрыть.Код:begin DelCLSID('Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666'); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ура, спасибо
Что из этого не нужно? Скажите, напишем скрипт для закрытия.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\nusrmgr.exe - Hoax.Win32.Renos.kk
Уважаемый(ая) ggeorge82, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.