Не загружается в обычном режиме + зверинец

**Natalie** · 26.09.2007, 09:04

Здравствуйте все!

Ситуация: При попытке загрузиться в обычном режиме на стадии загрузки рабочего стола и всяких служб компьютер вываливается в перезагрузку. В журнале событий - расплывчатое уведомление "Компьютер был перезагружен после критической ошибки: 0x10000050 (0xaa0d3000, 0x00000000, 0xaa038b9e, 0x00000000). Копия памяти сохранена: C:\WINDOWS\Minidump\Mini092607-12.dmp."
Отключение из автозагрузки антивирусника и юзергейта не помогло. Проверила с помощью CureIt. Нашла зверинец. Нет, авгиевы конюшни - 6 троянцев и одного червя. Выпала в легкий шок. Получается, зря надеюсь на NOD32?! После лечения от перегруза не избавилась. Я честно собрала логи AVZ и HiJackThis, но не знаю - насколько они полезны из-под безопасного режима, поэтому пока не высылаю. Помогите, пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 26.09.2007, 09:50

сделайте лог http://virusinfo.info/showthread.php?t=10387

**Natalie** · 26.09.2007, 12:31

Добрый день!

Собрала:

**PavelA** · 26.09.2007, 12:37

Профиксить в HijackThis:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки попытаться загрузиться и сделать логи в нормальном режиме. Если удасться, то загрузить карантин через ссылку вверху темы.

**Natalie** · 26.09.2007, 13:56

Добрый день!

Загрузиться в обычном режиме не удалось. Карантин выслала. Если это поможет, то в system32 есть файл ntoskrnl.exe, а CureIt в этой же system32 нашел NTRootKit.323.

**PavelA** · 26.09.2007, 14:35

Карантин пустой.
Деинсталлировать NOD. попробовать загрузиться.

**Natalie** · 26.09.2007, 14:54

NOD убила. Загрузился в обычном режиме. Уфф. Выслать логи, сформированные в обычном режиме? Смогу завтра утром.

**Bratez** · 26.09.2007, 15:02

Выслать логи, сформированные в обычном режиме? Смогу завтра утром.

Да, ждём.

**Natalie** · 27.09.2007, 06:44

Доброе утро!

Логи из-под обычного режима работы:

**V_Bond** · 27.09.2007, 09:08

в логах не замечено ничего вредоносного ...
что из этого используете ?

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

**Natalie** · 27.09.2007, 09:48

Добрый день!

Сообщение от V_Bond

в логах не замечено ничего вредоносного ...

Это хорошо. Но меня беспокоит два момента:
1. AVZ подозревает в файле C:\bied.exe Virus.Win32.PE_Type1. Это что за беда?
2. Нормальна ли ситуация, когда антивирусник пропускает столько троянцев? Не напрасно ли я использую NOD32?

Сообщение от V_Bond

что из этого используете ?

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
Да >> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Да >> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

**PavelA** · 27.09.2007, 09:52

C:\bied.exe - можно проверить самостоятельно на вирустотал.
Либо послать в архиве с паролем на newvirus<>z-oleg.com

**V_Bond** · 27.09.2007, 10:06

выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

**CyberHelper** · 22.02.2009, 02:29

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Не загружается в обычном режиме + зверинец (заявка № 12755)

Опции темы

Не загружается в обычном режиме + зверинец

Итог лечения

Похожие темы

XP не загружается в обычном режиме

не загружается в безопасном режиме

Не загружается в обычном режиме

Не загружается в безопасном режиме

Не загружается в обычном режиме!

Ваши права в разделе