Здравствуйте!
Работал, работал и доработался!
При подключении сетевого кабеля через минут 5 комп уходит на перезагрузку, потом пишет, что система восстановлена после серьёзной ошибки.Без кабеля всё хорошо работает.
Заранее спасибо!
Здравствуйте!
Работал, работал и доработался!
При подключении сетевого кабеля через минут 5 комп уходит на перезагрузку, потом пишет, что система восстановлена после серьёзной ошибки.Без кабеля всё хорошо работает.
Заранее спасибо!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Bwjk72.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\Bwjk72.sys'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Очистите временные файлы IE и папку C:\WINDOWS\Temp
Сделайте новые логи.
Карантин пришлите согласно приложению 3 правил.
Добавлено через 2 минуты
Дополнение: поищите вручную через AVZ файл C:\WINDOWS\taskmon.exe.
Если найдется - добавьте в карантин.
Последний раз редактировалось Bratez; 19.10.2007 в 09:15. Причина: Добавлено
I am not young enough to know everything...
Сделал как просили. Пару файлов в карантине Есет не пропустил, как я не старался.Файл taskmon.exe не найден.
Карантин:Файл сохранён как 071019_032509_2007-10-19_471869e53b4c1.zip
В системе уже чисто.
Пофиксите в HijackThis:
Запустите окно командной строки и выполните команду:Код:O20 - Winlogon Notify: arm32reg - C:\WINDOWS\ O20 - Winlogon Notify: arm32reg- - C:\WINDOWS\ O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
sc delete "Task Monitor"
При выполнении логов в карантин попали подозрительные файлы:
C:\WINDOWS\system32\rt27.exe
C:\WINDOWS\vhdtdhp.pif
C:\Documents and Settings\All Users\Документы\6E.tmp
C:\Documents and Settings\Admin\Рабочий стол\updaterr.pif
C:\syspsmb.exe
Пришлите их по правилам.
(100% зловреды, так что можете сразу удалить. В системе они не задействованы, просто валяются на диске).
Сделайте новый лог HijackThis.
И последнее:
Все, что вы не используете из этого списка желательно отключить.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Здравствуйте!
Спасибо ещё раз!
Выслал запрошенные файлы:
Файл сохранён как
071021_225526_2007-10-22_471c1f2e483fd.zip
В логе чисто.
Файлы после отправки удалили? И какие службы вам всё же нужны из последнего поста Bratez?
файлы пока не удалил.
Что оставить не знаю т.к. не особо в этом разбираюсь.
Последний раз редактировалось StranNik; 22.10.2007 в 09:20. Причина: лишнее
Скрипт отключения служб,ваши пояснения по поводу компьютера учтены,работоспособность не нарушиться
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('TlntSvr', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
И файлики удалите,они вам не нужны.
Спасибо всем, кто принял участие в решении моей проблемы.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\рабочий стол\\updaterr.pif - Trojan-Downloader.Win32.Tiny.ly (DrWEB: Trojan.DownLoader.34714)
- c:\\documents and settings\\all users\\документы\\6e.tmp - Trojan-Downloader.Win32.Agent.acl (DrWEB: BackDoor.Bulknet.81)
- c:\\syspsmb.exe - Trojan.Win32.Small.rv (DrWEB: Trojan.DownLoader.35886)
- c:\\windows\\system32\\rt27.exe - Trojan.Win32.Pakes.sb (DrWEB: Trojan.MulDrop.9300)
- c:\\windows\\vhdtdhp.pif - Trojan-Downloader.Win32.Tiny.ly (DrWEB: Trojan.DownLoader.34714)
Уважаемый(ая) StranNik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.