-
Junior Member
- Вес репутации
- 62
В обычном режиме не запускается ни одно приложение.
Добрый день.
При запуске в обычном режиме блокируется запуск абсолютно всего(Службы, невозможно запустить ни одну программу, открыть файл).
В безопасном режиме система загружается.
Была проверена NOD32, cureit и соответственно выполены указания относительно AVZ и HiJackThis.
Шаг 10 был выполнен на 80% и второй архив сформирован небыл.
[moderated: Внимательнее с именами файлов логов]
Последний раз редактировалось Earring21; 12.03.2008 в 10:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте дополнительный лог либо попробуйте переименовать avz.exe в game.pif.
Логи AVZ - ключевые из логов...
По тому, что имеем, выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\PETROL~1.OPT\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\PETROL~1.OPT\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 62
AVZ переименовал, Скрипт выполнил. Перезагрузился в обычном режиме. NOD(AMON) не запустился, но теперь уже доступен проводник запустил АВЗ. Жду.
-
что -то мне подсказывает ...что нод нужно переустанавливать
-
-
Junior Member
- Вес репутации
- 62
До конца не выполняется не стандартный скрипт (3) не (2)
Заканчивается все ошибкой(скрин во вложении) на 86%.
Последний раз редактировалось Earring21; 12.03.2008 в 10:08.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\winnt\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINNT\system32\necsort.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Попробуйте сделать логи.
Добавлено через 1 минуту
// Скрипт писал на основании карантина AVZ (примечание для коллег)
Последний раз редактировалось Макcим; 11.01.2008 в 00:52.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 62
Пока ничего не помогло.
Система запускается в обычном режиме.
Но АВЗ до конца проверку так и не проходит(все те же 86%).
Большая часть служб не запускается с ошибками:
Ошибка 1077: С момента последней загрузки попытки запустить службу не делались."
и Ошибка 1086 Не удавшийся запуск дочерних служб.
Добавлено через 1 час 30 минут
Никак не могу понять суть и причину ошибки 1077. В интернете тоже ничего по этому поводу не нашел.
Если есть какие мысли по этому поводу, прошу поделиться.
Последний раз редактировалось Earring21; 11.01.2008 в 13:34.
Причина: Добавлено
-
попробуйте деинсталировать нод .... должна пройти загрузка в нормальном режиме ...
-
-
Junior Member
- Вес репутации
- 62
Нод деинсталировал.
В Безопасном выполнил "дополнительный лог", его прилагаю.
Загрузился в обычном режиме. Пока все без изменений запущено всего пять служб(как в безопасном).
Ещё из нового...Предалгает установить устройство(новое)... на вскидку... все старые устройства на месте. Что устанавливать неизвестно.Пока висит как неизвестное устройство
Последний раз редактировалось Earring21; 12.03.2008 в 10:08.
-
Пока все без изменений запущено всего пять служб(как в безопасном).
Запустите services.msc и посмотрите, не стоит ли какая-нибудь в состоянии "Запуск"?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Нет. Все в работе(точнее только пять)
Добавлено через 12 минут
Попробовал снова поставить НОД. При запуске службы вылетает все та же ошибка 1077.
Добавлено через 46 минут
Какие ещё возможны шаги ?
Последний раз редактировалось Earring21; 11.01.2008 в 16:50.
Причина: Добавлено
-
Смотреть в журнале системы и приложений, кто там не запускается не по причине незапуска дочерних служб.
-
-
Junior Member
- Вес репутации
- 62
В Журнале Приложений
Тип события: Ошибка
Источник события: LoadPerf
Категория события: Отсутствует
Код события: 3009
Дата: 11.01.2008
Время: 19:22:30
Пользователь: Нет данных
Компьютер: PETROL5
Описание:
Ошибка установка строк счетчика производительности для NTDS. Код ошибки - в DWORD 0.
Данные:
0000: 02 00 00 00 ....
----------------
Тип события: Ошибка
Источник события: LoadPerf
Категория события: Отсутствует
Код события: 3001
Дата: 11.01.2008
Время: 19:22:30
Пользователь: Нет данных
Компьютер: PETROL5
Описание:
Значение строки с именем счетчика производительности в реестре имеет неправильный формат. Последнее верное значение индекса в данных записи - в DWORD 0.
Данные:
0000: 20 09 00 00 ...
В Журнале Системы
Тип события: Ошибка
Источник события: DCOM
Категория события: Отсутствует
Код события: 10010
Дата: 11.01.2008
Время: 19:17:50
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: PETROL5
Описание:
Регистрация сервера {1BE1F766-5536-11D1-B726-00C04FB926AF} DCOM не прошла за отведенное время ожидания.
-------------
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7001
Дата: 11.01.2008
Время: 1925
Пользователь: Нет данных
Компьютер: PETROL5
Описание:
Служба "Dialogic SRAM Protocol Driver" является зависимой от службы "Dialogic FW Download Driver", которую не удалось запустить из-за ошибки
С момента последней загрузки попытки запустить службу не делались.
Добавлено через 1 час 41 минуту
Чем дальше тем страшнее...
Теперь в буфер можно только скопировать(Вставить нельзя).
Папка ProgramFiles как пистая(хотя в строке состояния пишет что 52 объекта)
Панель управления стала "узкой" (в левой части экрана узкое отделение со скролом которое нельзя растянуть).
Что делать? Прошу помощи.
Последний раз редактировалось Earring21; 11.01.2008 в 21:19.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 62
Прогрессируем.
Теперь не отображается окно свойств в Службах(хотя открыто судя по тому, что когда пытаешся закрыть Службы просит прежде закрыть все открытые окна).
-
ну ругается на службу Active Directory она запущена ?
-
-
Junior Member
- Вес репутации
- 62
Вот что обнаружил(может это и есть ключ)
В обычном режиме я попробовал запустить dcpromo, а система мне выдала что я нахожусь в безопасном режиме.
Вероятно все остальные службы могут не запускаться по той же причине(система думает что она в безопаске).
Если есть мысль как исправить, прошу Поделитесь!?
-
Код:
Значение строки с именем счетчика производительности в реестре имеет неправильный формат
вот служба и не запускается ....
-
-
Junior Member
- Вес репутации
- 62
Подскажите где в реестре посмотерть?
-
правда там для английской версии ... на русской не проверял ...
http://support.microsoft.com/kb/300956/ru
-