Микронезия (Федеративные Штаты Микронезии)г. Паликир, Слева от упавшей пальмы,ул Нурикийская 1 кв.13
Сообщений
739
Вес репутации
218
Пипец котёнку? Курент выключает ПЭВМ.
Здравствуйте.
Ситуация следующия:
Имеем сервер 2003 R2 все дела к нему(обновления, т.к. лицензионный). На машине не имеем ни одного антивируса(не считаем "Защитника Windows" [он говорит что всё о'кей парни]) У нас есть в рабочим состоянии AVZ(под другим именим) и HijackThis(под своим) которые слава Богу работают. Есть ещё курент(с изменённым именем)+Dr.Web LiveCD(как есть) и "аварийный" диск каспера(как есть).
Вижу в диспечере задач mshta.учу иду на страницу как это чудо личить http://ццц.viruslist.com/ru/viruses/...virusid=141073
лечу. Я же крутой лекарь, кого хошь залечу.Лечу как там сказано. Но ветки как сказанно нет ([HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run]
"load"="%System%\ssms.exe"). Есть похожии ветви, только в конце mshta.exe ну я добрая душа их удаляю.
Дальше загружаю свежий курент и начинаю проверять. Он мне проверяет, проверяет и тут БАЦ ЭВМ выключаеться. Думаю, опять Чубайс виноват. Рядом меня не было, другими ЭВМ занимался. Поставил сново... И стал пить чай с лимоном посматривая на монитор... БАЦ сново отключился ЭВМ, вот блин"ёжик в тумане"... Успел заметить что отключился при проверке корня папки Виндоуз. Перекрестился, свят, свят, свят, показалось. И заново включил проверку в аварийном режиме. И опять при проверке курентом ЭВМ выключился. Ааа, думаю, блокируют моего другана доктора "пепера" (причём с изменённым именем на "kaka.com"[прости Игорь])
Ладно думаю, нужна тяжёлая артерерия. Загрузился аварийным диском каспера... Но он дисков моих не нашёл, только память..."я прошу хоть не надолго, грусть моя ты покинь меня")Ладно...Мыж парни крепкие, возмём аварийный доктор вебер. Не... но молодец , диски увидел, уже класс! Сразу отрываю проверку на диске C:\вин* ну вы поняли... И из под этого режима ЭВМ не выключалась, она просто зависала при проверке папки с установленной виндовс..
Вообщем всё по правилам логи прилагаю:В карантине тож есть немного файла, скажите, добавлю.
Остальное не помещается. (
Здравствуйте.
Загрузил карантин от 2009-03-18: Файл090319_003443_virus_49c168f315ba9.zip
Файл сохранён как 090319_003959_2virus_49c16a2faf435.zip
Размер файла 1554269
MD5 640c0960ab063e6902fe7209cbca10bc
файла[/B]3912884
MD5e52ee97ccd5b69f35f2fa831259fc169
А это карантин что сделали 2009-02-27: Файл 090319_003959_2virus_49c16a2faf435.zip файл 1554269 MD5 640c0960ab063e6902fe7209cbca10bc
Добавлено через 10 часов 3 минуты
Здравствуйте.
Пробую скопировать файл mshta.exe, в карантин. АВЗ пишит, что без ошибок спокойно скопировал, но в карантине файла нет. В реестре выдаёт:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache]
"C:\WINDOWS\system32\mshta.exe"=""
[HKEY_USERS\S-1-5-21-3147594744-3354603871-2254781607-500\Software\Microsoft\Windows\ShellNoRoam\MUICach e]
"C:\WINDOWS\system32\mshta.exe"=""
скопировал его вручную и упаковал с паролем virus. высылаю. Файл 090319_104710_virus3_49c1f87eda2df.zip Размер файла 15675 MD5 dd44b2f666b50a7e0c188f4e85366855
Ещё в журнале Просмотр событий/приложения пишит иногда
"Политика безопасности в объектах групповой политики успешно применена.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp"."
а потом часто пишит:
'Не удалось получить имя контроллера домена в этой сети. (Непредвиденная сетевая ошибка. ). Обработка групповой политики прекращена.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp"."
выкидывает бухгалтеров из 1С иногда..., а иногда часто.
Последний раз редактировалось Rene-gad; 19.03.2009 в 11:41.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Микронезия (Федеративные Штаты Микронезии)г. Паликир, Слева от упавшей пальмы,ул Нурикийская 1 кв.13
Сообщений
739
Вес репутации
218
О горе мне.
Я без раадмина как калека на один глаз и руку.
Специально для него выбивал лицензии, для ся.
Лан, будем ждать. Специально ни чего не лечу на этой машине пока, бум надеяться время терпит.
Последний раз редактировалось Kacnep; 20.03.2009 в 12:36.
Причина: Поднять рейтинг. :)
Микронезия (Федеративные Штаты Микронезии)г. Паликир, Слева от упавшей пальмы,ул Нурикийская 1 кв.13
Сообщений
739
Вес репутации
218
Спасибо. Уничтожаем животину? Правельный скрипт подскажите? Он же у меня так и "тусуеться" на ПК. Хотите заново логи сделаю.Хотя с последних логов ни чего не менял и не лечил.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: