-
Junior Member
- Вес репутации
- 55
Останавливаются службы
На компьютере Windows xp sp3 постоянно останавливаются службы Сервер, обозреватель ком-ов, рабочая станция и др.. Приходится запускать вручную, но они через час-2 снова останавливаются. Невозможно получить доступ к расшареным на нем ресурсам. Все обновления Виндовс ставил, не помогает
Помогите вылечить.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
- выполните в AVZ скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\rasadhlp.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\rasadhlp.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
...после перезагрузки пришлите карантин, файл quarantine.zip, котрый находится в папке c AVZ, воспользовавшись ссылкой вверху темы - Прислать запрошенный карантин
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 55
-
- сделайте свежие логи, согласно правил, начиная с пункта 2 раздела Диагностика
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 55
-
- в логах ничего явно зловредного не обнаружено.
- остались ещё какието замечания по работе системы?..
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 55
Да, службы так и останавливаются каждый час где-то
-
- сделайте логи MBAM
...и остановите/выгрузите антивирус на время сканирования и создания логов
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 55
-
- удалите с помощью MBAM указанные элементы:
Код:
Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dllcache (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dllcache (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
Заражено значений реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражено папок:
C:\Documents and Settings\LocalService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\Documents and Settings\urusco\DoctorWeb\Quarantine\9.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\dlds8.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vx.tll (Malware.Trace) -> No action taken.
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> No action taken.
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 55
все сделал. пока работает, НО
Недоступен ни 1 сайт производителей антивирусов
в HOSTS были закомментареные строки
#AAW 127.0.0.1 microsoft.com
#AAW 127.0.0.1 downloads4.kaspersky-labs.com
#AAW 127.0.0.1 downloads3.kaspersky-labs.com
#AAW 127.0.0.1 downloads2.kaspersky-labs.com
#AAW 127.0.0.1 downloads1.kaspersky-labs.com
#AAW 127.0.0.1 downloads-us1.kaspersky-labs.com
#AAW 127.0.0.1 rads.mcafee.com
#AAW 127.0.0.1 liveupdate.symantecliveupdate.com
#AAW 127.0.0.1 liveupdate.symantec.com
#AAW 127.0.0.1 update.symantec.com
#AAW 127.0.0.1 www.grisoft.com
#AAW 127.0.0.1 windowsupdate.microsoft.com
#AAW 127.0.0.1 www.lavasoftusa.com
#AAW 127.0.0.1 downloads2.kaspersky-labs.com
#AAW 127.0.0.1 downloads4.kaspersky-labs.com
#AAW 127.0.0.1 downloads1.kaspersky-labs.com
#AAW 127.0.0.1 mcafee.com
#AAW 127.0.0.1 www.pandasoftware.com
#AAW 127.0.0.1 www.sophos.com
#AAW 127.0.0.1 www.Kaspersky.com
#AAW 127.0.0.1 my-etrust.com
#AAW 127.0.0.1 www.f-secure.com
#AAW 127.0.0.1 www3.ca.com
#AAW 127.0.0.1 us.mcafee.com
#AAW 127.0.0.1 symantec.com
#AAW 127.0.0.1 www.avp.ch
#AAW 127.0.0.1 download.mcafee.com
#AAW 127.0.0.1 securityresponse.symantec.com
#AAW 127.0.0.1 microsoft.com
#AAW 127.0.0.1 www.my-etrust.com
#AAW 127.0.0.1 www.viruslist.com
#AAW 127.0.0.1 avp.com
#AAW 127.0.0.1 ca.com
#AAW 127.0.0.1 f-secure.com
#AAW 127.0.0.1 kaspersky.com
#AAW 127.0.0.1 mast.mcafee.com
#AAW 127.0.0.1 networkassociates.com
#AAW 127.0.0.1 sophos.com
127.0.0.1 localhost
127.0.0.1 mpa.one.microsoft.com
-
-по умолчанию должны быть только запись 127.0.0.1 localhost
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
+ к Alex Plutoff
Базы AVZ у Вас очень древние
Сделайте лог virusinfo_syscheck.zip полиморфным AVZ (ссылка в подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Все поудалял, но сайты всеравно недоступны! Притом я час назад качал с этого компьютера и с avast.com и drweb
-
Прочтите сообщение перед последним Вашим
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
ага, видел
-
Это Кидо
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service zcethljym
gmer.exe -del file "C:\WINDOWS\system32\aanzly.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zcethljym"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\zcethljym"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил, но на 1-й строке
gmer.exe -del service zcethljym
была ошибка - delete service Параметр задан неверно
Остальное выполнилось