Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 36.

При запуске Windows XP прекращается работа DrWeb и ... (заявка № 59832)

  1. #1
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30

    Exclamation При запуске Windows XP прекращается работа DrWeb и ...

    Доброе время суток.
    Есть проблема, связанная с прекращением работы программ, запускающихся при запуске Windows XP.
    Во-первых, это модули DrWeb'а (DrwAgent, Spidernt, SpiderMail)
    Во-вторых, ATI Desktop Control Panel и Acrobat Distiller.
    В третьих, не запускается даже в безопасном режиме инсталлятор DrWeba.
    Некоторое время назад на компьютер попали вирусы с флешки.
    CureIt, LiveCD, SalityKiller совместными усилиями поубивали все, что нашли, но программы, описанные выше, по-прежнему вылетают при запуске.
    Подозреваю, что какая-то гадость таки осталась.
    Были обнаружены Win32.Sector.5, Win32.hllw.Shadow.Based и Win32.Hllw.Autoruner.<какой-то-там>.
    Прошу Вашей помощи.
    Спасибо.
    PS: файлы прилагаются.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
    BC_ImportDeletedList;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.
    Последний раз редактировалось Rene-gad; 10.11.2009 в 19:18.

  4. #3
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Доброе время суток.
    Скрипт выполнен, но карантин оказался пустым и AVZ отказался архивировать его, сообщиая, что не выбрано ни одного файла. Лог выполнения скрипта тоже отсылаю на всякий случай. Файл smss.exe, который должен был оказаться в каратнине, на компьютере не найден (виимо, был убит скриптом).
    Новые логи высылаю.
    Спасибо.
    PS. Проблема с завершением работы тех же самых программ (DrWeb и пр.) сохранилась.
    Последний раз редактировалось Rainman; 11.11.2009 в 10:47. Причина: Забыл сообщить поведение компьютера после выполнения рекомендаций по устранению проблемы.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Пофиксите в Hijack
    Код:
    O2 - BHO: Yandex.Bar - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    O2 - BHO: (no name) - {B66A8242-2FE7-D9BB-04AE-0C6D10390D79} - C:\DOCUME~1\Rubenych.PK\APPLIC~1\RULELO~1\2extra.exe (file missing)
    Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    1. Строки в HiJack пофиксены.
    2. Указанный лог сделан (прилагается).

    Спасибо.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Удалить в МВАМ
    Код:
    Заражено файлов:
    C:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
    C:\WINDOWS\system32\dp1.fne (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\internet.fne (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\svcp.csv (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
    C:\WINDOWS\system32\winsub.xml (Malware.Trace) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Выполнено.
    Проблема, увы, сохранилась.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Сделайте новый лог mbam + сделаете лог http://virusinfo.info/showthread.php?t=58309

  10. #9
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Выполнено.
    После перезагрузки увидел, что проблема, увы, сохранилась.
    Последний раз редактировалось Rainman; 11.11.2009 в 18:24. Причина: Сделана перезагрузка для проверки результатов работы ComboFix'а

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\irftp.exe','');
    QuarantineFile('c:\program files\Lithtech.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

  12. #11
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Сделано.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Один файл чистый, другой - ждем результата анализа
    Еще есть один подозрительный файл. Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\ws2_32.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин
    Последний раз редактировалось Шапельский Александр; 11.11.2009 в 19:47.

  14. #13
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Сделано.
    Еще вчера сделано.
    Последний раз редактировалось Rainman; 12.11.2009 в 10:34. Причина: Попытка напомнить о себе.

  15. #14
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Может быть, этот лог пригодится?
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Вторые сутки нет ответа.
    Format C: ??
    Хотелось бы узнать, будет ли продолжена работа по моему вопросу?
    Или таки применить гильотину к жесткому диску?
    Последний раз редактировалось Rainman; 13.11.2009 в 15:13. Причина: Невозможно работать.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Файлы, что Вы прислали чистые
    Выполните такой скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    Executerepair(1);
    Executerepair(6);
    Executerepair(8);
    Executerepair(16);
    ExecuteWizard('TSW', 2, 2, true)
    RebootWindows(false);
    end.
    Компьютер перезагрузится
    Отпишитесь

  18. #17
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Выполнено.
    Компьютер перезагрузился.
    Проблема сохранилась.

    Добавлено через 9 минут

    Если нижеследующая информация поможет, то сообщаю:
    Вчера в ожидании ответа Вашего сервиса сделал следующее:
    1. Проверил систему свежим DrWeb Live CD от 12.11.09. (Вирусов не найдено).
    2. Попытался деинсталлировать PC Suit for Nokia 7650, поскольку AVZ несколько раз ругался на то, что возможна маскировка процессов, связанных именно с этим пакетом. Штатный деинсталлятор отказался работать и был выгружен с тем же сообщением, что и программы при запуске Windows (Программа вызвала ошибку и будет закрыта)
    3. Использовал RegCleaner для удаления этого пакета и чистки реестра.
    4. Уже сегодня выполнил стандартные скрипты №1 и №4 в AVZ. Логи их работы сохранены. (Если потребуются, то предоставлю).
    5. После этого выполнил рекомендованный сегодня скрипт. Несмотря на то, что в нем есть строчка о том, что перезагрузка = false, компьютер все же перезагрузился.
    Последний раз редактировалось Rainman; 13.11.2009 в 15:44. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Давайте новые логи. Но сначала обновите базы АВЗ

  20. #19
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Вышеупомянутый лог (до выполнения рекомендованного скрипта).
    Логи, требуемые по правилам делаются.
    Вложения Вложения

  21. #20
    Junior Member Репутация
    Регистрация
    10.11.2009
    Сообщений
    19
    Вес репутации
    30
    Live CD использовал, CureIt от 12.11.09 тоже.
    AVPTool не пробовал.
    Свежие логи сделаны.

  • Уважаемый(ая) Rainman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. прекращается работа антивирусов
      От hella в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.11.2010, 17:47
    2. Ответов: 1
      Последнее сообщение: 11.06.2010, 18:22
    3. Ответов: 1
      Последнее сообщение: 25.11.2009, 03:46
    4. BSOD при запуске DrWeb
      От lance84 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 08:05
    5. ЗАВИСАЕТ КОМ ПРИ ЗАПУСКЕ DrWeb - CureIT!
      От MAXSIMKA в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.07.2008, 01:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01290 seconds with 17 queries