-
Junior Member
- Вес репутации
- 62
Компьютер не выключается правильно
Добрый день!
Проблема на корпоративном компьютере.
Корпоративный антивирус: Trend OfficeScan.
Выполнил лечение рабочим антивирусом, затем согласно правил с использованием CureIt и AVZ.
Судя по логам HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\idaw64.exe,
остаточные явления точно есть, а может и само тело вируса где-то. Знаний пока не хватает.
Буду признателен за помощь.
Последний раз редактировалось CandyMAN; 21.03.2008 в 17:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите ..
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOW S\system32\idaw64.exe,
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\OBOROT~1\LOCALS~1\Temp\winlogon.exe
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
QuarantineFile('C:\DOCUME~1\OBOROT~1\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\OBOROT~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\idaw64.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 62
Логи прилагаю.
Карантин:
Файл сохранён как 080114_044746_virus_478b3dd223a36.zip
Размер файла 31772
MD5 83ac20de2d8dca726d94be6387990087
При повтороном формировании логов был выявлено наличие файла w32sys15.exe.
Я запустил AVZ и нашел файл. Затем удалил его с помещением в карантин.
Последний раз редактировалось CandyMAN; 21.03.2008 в 17:54.
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\w32sys15.exe','');
DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 62
указанный файл должен быть в ране присланном карантине
-
в карантине два файла ....
C:\WINDOWS\system32\w32sys15.exe PUA.Packed.UPack-2
C:\DOCUME~1\OBOROT~1\LOCALS~1\Temp\winlogon.exe TR/Luda.A
-
-
Junior Member
- Вес репутации
- 62
Выходит, что файлы
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\idaw64.exe
были удалены ранее ...
Я конечно попробую их поискать через AVZ повторно
-
лучше давайте новый комплект логов ... думаю должно быть чисто
-
-
Junior Member
- Вес репутации
- 62
может без логов? ) они долго формируются, а люди работать хотят ))). Не, ну если это действительно необходимо, тио сделаем всенепременно.
Я попробовал найти эти файлы c AVZ... чисто.
Еще остался один малегнький вопрос, который вы задаета в конце всегда
а именно ... "какие службы нужны?"
Не дадите ссылочку на описание этих служб или по крайней мере для каких приложений или целей они могут быть использованны?
А то я каждый раз смотрю индивидуально )))
-
Сделайте, хотя бы, лог Hijackthis и лог исследования системы AVZ (п.п. 10 - 13 правил) - это не должно занять много времени. Что до служб, обычно предлагается вот это описание: http://www.oszone.net/5681/Windows_Services
-
-
Junior Member
- Вес репутации
- 62
Во вложении новые логи.
И за ссылку по службам спасибо. А почему бы вам сразу не посылать людей на скачку данного файла? т.е., задавая вопрос о нужности той или иной службы, указывать готовый линк на архив (http://soft.oszone.net/program/63/Sp..._v_Windows_XP/ ) Правда я только сейчас осознал, что это только для ХР, а для Висты отдельно. Но на сайте и для Висты есть. Пока еще не успел все почитать, но думаю что к завтрашнему буду иметь представление о том что следует оставить. а с помощью логов AVZ думаю что подготовлю скрипт для отключения ненужного.
Последний раз редактировалось CandyMAN; 21.03.2008 в 17:54.
-
в логах ничего подозрительного ....
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
V_Bond
в логах ничего подозрительного ....
Отлично, да и компьютер стал перегружаться и выключаться самостоятельно! В том плане, что кнопки выключения и полной перезагрузки нажимать не приходится ... а только через "Пуск", т.е. нормально.