Останавливаются службы
На компьютере Windows xp sp3 постоянно останавливаются службы Сервер, обозреватель ком-ов, рабочая станция и др.. Приходится запускать вручную, но они через час-2 снова останавливаются. Невозможно получить доступ к расшареным на нем ресурсам. Все обновления Виндовс ставил, не помогает
Помогите вылечить.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- пофиксить в HijackThisКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
- выполните в AVZ скрипт
...после перезагрузки пришлите карантин, файл quarantine.zip, котрый находится в папке c AVZ, воспользовавшись ссылкой вверху темы - Прислать запрошенный карантинКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\rasadhlp.dll',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\rasadhlp.dll'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('PRT', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
С уважением,
Alex Plutoff
А. ПЛАТОВ
выполнил
- сделайте свежие логи, согласно правил, начиная с пункта 2 раздела Диагностика
С уважением,
Alex Plutoff
А. ПЛАТОВ
сделал
- в логах ничего явно зловредного не обнаружено.
- остались ещё какието замечания по работе системы?..
С уважением,
Alex Plutoff
А. ПЛАТОВ
Да, службы так и останавливаются каждый час где-то
- сделайте логи MBAM
...и остановите/выгрузите антивирус на время сканирования и создания логов
С уважением,
Alex Plutoff
А. ПЛАТОВ
логи mbam
- удалите с помощью MBAM указанные элементы:Код:Заражено ключей реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dllcache (Backdoor.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dllcache (Backdoor.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. Заражено значений реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражено папок: C:\Documents and Settings\LocalService\Application Data\wsnpoem (Trojan.Agent) -> No action taken. C:\Documents and Settings\NetworkService\Application Data\wsnpoem (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken. Заражено файлов: C:\Documents and Settings\urusco\DoctorWeb\Quarantine\9.tmp (Trojan.Agent) -> No action taken. C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken. C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken. C:\WINDOWS\system32\dlds8.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\vx.tll (Malware.Trace) -> No action taken. C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> No action taken.
С уважением,
Alex Plutoff
А. ПЛАТОВ
все сделал. пока работает, НО
Недоступен ни 1 сайт производителей антивирусов
в HOSTS были закомментареные строки
#AAW 127.0.0.1 microsoft.com
#AAW 127.0.0.1 downloads4.kaspersky-labs.com
#AAW 127.0.0.1 downloads3.kaspersky-labs.com
#AAW 127.0.0.1 downloads2.kaspersky-labs.com
#AAW 127.0.0.1 downloads1.kaspersky-labs.com
#AAW 127.0.0.1 downloads-us1.kaspersky-labs.com
#AAW 127.0.0.1 rads.mcafee.com
#AAW 127.0.0.1 liveupdate.symantecliveupdate.com
#AAW 127.0.0.1 liveupdate.symantec.com
#AAW 127.0.0.1 update.symantec.com
#AAW 127.0.0.1 www.grisoft.com
#AAW 127.0.0.1 windowsupdate.microsoft.com
#AAW 127.0.0.1 www.lavasoftusa.com
#AAW 127.0.0.1 downloads2.kaspersky-labs.com
#AAW 127.0.0.1 downloads4.kaspersky-labs.com
#AAW 127.0.0.1 downloads1.kaspersky-labs.com
#AAW 127.0.0.1 mcafee.com
#AAW 127.0.0.1 www.pandasoftware.com
#AAW 127.0.0.1 www.sophos.com
#AAW 127.0.0.1 www.Kaspersky.com
#AAW 127.0.0.1 my-etrust.com
#AAW 127.0.0.1 www.f-secure.com
#AAW 127.0.0.1 www3.ca.com
#AAW 127.0.0.1 us.mcafee.com
#AAW 127.0.0.1 symantec.com
#AAW 127.0.0.1 www.avp.ch
#AAW 127.0.0.1 download.mcafee.com
#AAW 127.0.0.1 securityresponse.symantec.com
#AAW 127.0.0.1 microsoft.com
#AAW 127.0.0.1 www.my-etrust.com
#AAW 127.0.0.1 www.viruslist.com
#AAW 127.0.0.1 avp.com
#AAW 127.0.0.1 ca.com
#AAW 127.0.0.1 f-secure.com
#AAW 127.0.0.1 kaspersky.com
#AAW 127.0.0.1 mast.mcafee.com
#AAW 127.0.0.1 networkassociates.com
#AAW 127.0.0.1 sophos.com
127.0.0.1 localhost
127.0.0.1 mpa.one.microsoft.com
-по умолчанию должны быть только запись 127.0.0.1 localhost
С уважением,
Alex Plutoff
А. ПЛАТОВ
+ к Alex Plutoff
Базы AVZ у Вас очень древние
Сделайте лог virusinfo_syscheck.zip полиморфным AVZ (ссылка в подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все поудалял, но сайты всеравно недоступны! Притом я час назад качал с этого компьютера и с avast.com и drweb
Прочтите сообщение перед последним Вашим
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ага, видел
Это Кидо
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
есть
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
И запустите cleanup.bat.Код:gmer.exe -del service zcethljym gmer.exe -del file "C:\WINDOWS\system32\aanzly.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zcethljym" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\zcethljym" gmer.exe -reboot
Компьютер перезагрузится!
Сделать новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скрипт выполнил, но на 1-й строке
gmer.exe -del service zcethljym
была ошибка - delete service Параметр задан неверно
Остальное выполнилось
Уважаемый(ая) Anton_ua, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
