сделал как написано в правилах прикрепляю логи надеюсь на скорую помощь
сделал как написано в правилах прикрепляю логи надеюсь на скорую помощь
Последний раз редактировалось Lagruss; 01.02.2007 в 12:54. Причина: добавление лога
Загрузиься в Safe Mode ( F8 )
проверить машину Cure-It от Dr.Web (ссылка в правилах)
Если не поможет, то в Safe Mode ( F8 ) в AVZ выполнить скрипт
Прислать карантин согласно Приложения 2 правил. номер темы - 7736Код:begin SearchRootkit(true, true); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\2233593.exe',''); QuarantineFile('C:\WINDOWS\System32\rpcc.dll',''); RebootWindows(true); end.
2. в HijackThis профиксить строчку
Пора ставить SP2, правда скорее всего возникнут проблемы с активизацией.Код:O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Cure It ничего не нашла
сделал еще раз как написано в правилах прикрепляю логи. Народ Хелп!!!
@в HijackThis профиксить строчку
Код:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll@
пофиксил
А где файлы из карантина? Просил же, прислать.
В логах ничего не видать, руками чтоль убили файлы.(:
Или логи из Safe Mode?
Доктор Веб живой, а то в логах его не видно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
этих файлов нет или я их уже руками грохнул или х.з. но прога их не находит
и еще браузер при попытки зайти на сайты зоны .com редиректит на
http://www.sysinternals.com/isapi.dl...ginfrontmember
Вот какую выдает инфу
C:\Documents and Settings\Администратор>tasklist /svc
Имя образа PID Службы
========================= ======
=============================================
System Idle Process 0 Н/Д
System 4 Н/Д
smss.exe 312 Н/Д
csrss.exe 360 Н/Д
winlogon.exe 384 Н/Д
services.exe 428 Eventlog, PlugPlay
lsass.exe 440 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 596 RpcSs
svchost.exe 684 Dnscache
svchost.exe 700 LmHosts, RemoteRegistry, SSDPSRV,
WebClient
spoolsv.exe 780 Spooler
explorer.exe 1344 Н/Д
ctfmon.exe 1488 Н/Д
svchost.exe 1684 EventSystem, helpsvc, SENS, Themes,
winmgmt
taskmgr.exe 172 Н/Д
cmd.exe 164 Н/Д
tasklist.exe 152 Н/Д
wmiprvse.exe 276 Н/Д
C:\Documents and Settings\Администратор>
Давай, сделай лог HijackThis с открытым бровсером. Странно как-то Ваши вторые логи выглядят.
Плюс в AVZ Восстановление системы п.п.2.3.4
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
сделал лог с открытым браузером
А восстановление в АВЗ выполнил?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
да выполнял с этого зараженного компа походу вирус перебрался на другие т.к. глюк с редиректом сайов зоны .com появился на других системах win98 в том числе
Куда reset5 делся? Ничего понять не могу. Призвал на помощь хелперов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1. в AVZ активизировать AVZPM, перезагрузиться и сделать логи с ним
2. Как насчет паролей на Администратора - есть/нет?
3. DNS-сервер 192.168.102.1 Ваш?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
пароль админа есть
reset5 я руками отключил
dns наш
завтра продолжу и отпишусь огромное спасибо за помощь!
Расшаренные директории с этого РС и на этом с других поотключай. Троянчик может по ним бегать.
Без reset5 винда потребует активацию!!
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ну, будет повод переставиться на SP2. Всё равно надо.
Уважаемый(ая) Lagruss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.