Показано с 1 по 14 из 14.

Циклическая перезагрузка системы (заявка № 7967)

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    5
    Вес репутации
    63

    Thumbs down Циклическая перезагрузка системы

    Случилось это в мое отсутствие. Как объяснил тот, кто ходил по Интернету, искал мелодии для мобильника. В результате комп стал тормозить и выбрасывать окна с предупреждениями, при закрытии которых шел на перезагрузку и сканирование диска. Прочитав некоторые темы на вашем сайте под ДОС удалил подозрительные файлы, но часть из них появляется снова. Касперский молчит и не реагирует на попытки запуска. Поставленные дополнительные антивирусы что-то говорят, но я в этом плохо разбираюсь. При сканировании AVZ по вашим инструкциям нажатие кнопки "Развернуть во весь экран" привело к перезагрузке попытке сканирования диска. Повторное сканирование произвел "ничего не трогая". Направляю вам файлы. Может, просто обновить WINDOWS или переустановить? Если это поможет. Больше ничего до вашего ответа трогать не буду.
    Вложения Вложения
    Последний раз редактировалось иван иваныч; 15.02.2007 в 14:35. Причина: Не то послал. Извините

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\eied_s7.cab','');
     QuarantineFile('C:\Program Files\XoftSpySE\XoftSpy.exe','');
     QuarantineFile('C:\WINDOWS\System32\wincom32.sys','');
     QuarantineFile('C:\WINDOWS\System32\zcneiv32.dll','');
     QuarantineFile('\??\C:\WINDOWS\System32\wincom32.sys','');
     QuarantineFile('c:\cp1041.nls','');
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки пришлите карантин AVZ, как написано в прил.2 правил. Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7967
    В дополнение: Windows XP SP1 официально не поддерживается Microsoft. Рекомендуется установить SP2+все последующие дополнения. Имейте в виду, что в вашем случае, после установки SP2, потребуется регистрация Windows. И касперского, если он легальный, лучше обновить до 6-й версии

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для agnec
    Регистрация
    25.01.2005
    Сообщений
    156
    Вес репутации
    79
    да, винду поменять на сп2 конечно стоит. и правила прочитать в части отключения всего лишнего. например C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe - надеюсь сами ставили ?
    еще не вижу в логе IE, который в правилах рекомендуется запустить.
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp - твикер сами ставили ?
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k - с чего бы это ?
    O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
    O4 - HKCU\..\Run: [Registry] "C:\Program Files\Greatis\RegRunSuite\lsoon.exe" -1 30 "C:\Program Files\Greatis\RegRunSuite\rescue.exe" /a "c:\backreg\rstore.ini"
    вроде как сторож с автоматическим восстановлением ? или зверь какой ?
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-611111193429} -
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab - вот этот файлик пришлите, как написано в правилах
    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
    вобще непонятка
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe - еще один твикер ?
    а я дедушка-лето !

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для agnec
    Регистрация
    25.01.2005
    Сообщений
    156
    Вес репутации
    79
    посмотрел лог avz:
    "Внимание !!! База поcледний раз обновлялась 29.12.2006..."
    возможно с обновленными базами вопросов было бы меньше
    а я дедушка-лето !

  6. #5
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    5
    Вес репутации
    63
    Спасибо всем за участие. Сделал, как посоветовали согласно скрипту. Сейчас идет отправка файла.
    Но, к сожалению, ничего не изменилось. После перезагрузки система подвисла с синим экраном. Пришлось нажать ресет. Загрузилась, отсканировала винт. Запустил DrWeb - нашлась все та же zcneiv32.dll с инфекцией. И еще куча других. Лечились, перегружались... К сожалению, я не силен в этом. Но есть какое-то подозрение на антивирус касперского, который мне поставил когда-то мой продвинутый приятель. Да, видно программа нелегальная. Ругалась одно время. А потом изчезла иконка, перестал загружаться из Пуска, а когда я пытаюсь его удалить, он требует его закрыть сначала. Но как это сделать? Через панель управления тоже не помогло, как и удаление из автозагрузки. И эта беда - внезапная перезагрузка и сканирование - достала уже. WINDOWS переустановлю, но не хочу это сделать так, чтоб потерялась ценная годами наработанная информация. Нужно как-то вылечить систему. Может, посоветуете, что сделать. Прилагаю сегодняшние утренние логи.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Из того, что вы прислали:
    C:\WINDOWS\System32\wincom32.sys - вирус Email-Worm.Win32.Zhelatin.d
    C:\WINDOWS\System32\zcneiv32.dll - Backdoor.Win32.Agent.fo
    c:\cp1041.nls - SpamTool.Win32.Agent.u (все - по классификации Касперского)
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('c:\cp1041.nls');
    DeleteFile('C:\WINDOWS\System32\wincom32.sys');
    DeleteFile('C:\WINDOWS\System32\zcneiv32.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки в программе hijackthis пофиксите строки
    Код:
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
    и сделайте, пожалуйста, новые логи.

  8. #7
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    5
    Вес репутации
    63
    Сделал. Мне показалось, что вылечен. Но окончательный диагноз поставите вы. Логи прилагаю. Проблему с касперским решил сам касперский. Скачал Kaspersky Internet Security 6.0.2.614. Пробовал установить. Он просил удалить 5 версию и выбрасывал в Панель управления, где ничего не получалось с удалением. Когда проигнорировал это требование, программа с двумя перегрузками (уже без попыток сканирования диска) установилась. Теперь ее нужно проактивировать. Есть вопрос. Когда включить снова ранее отключенную опцию Восстановление системы?
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    До конца не вылечились файл c:\cp1041.nls создан заново, значит осталось что-то. Пока так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\ndis.sys','');
     DeleteFile('c:\cp1041.nls');
    ExecuteSysClean;
    CreateQurantineArchive(GetAVZDirectory+'virusinfo_7967_quarantine.zip');
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, загрузите файл virusinfo_7967_quarantine.zip из папки AVZ через ссылку "прислать запрошенные файлы", или как написано в прил.2 правил.
    Последний раз редактировалось RiC; 17.02.2007 в 10:21.

  10. #9
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    5
    Вес репутации
    63
    Выслать вам virusinfo_7967_quarantine.zip не могу, так как ситуация уже изменилась. Проактивировал антивирус касперского и запустил его. И тут началось. Уж мы их душили-душили, душили-душили... Просто наслаждение. Но. Этот антивирус почистил и все ваши логи. Отчет о его работе я пересылаю в файле "результат проверки кав.txt". Прилагаю также лог проверки с помощью AVZ и hijackthis. Посмотрите, пожалуйста, сейчас, все ли чисто. Ваши подозрения насчет файла ndis.sys оказались верными. Это он порождал потом cp1041.nls. И мало того, после того как касперский удалял его, cp1041.nls, появлялся через минуту cp1292.nls, после удаления которого - cp2913.nls, далее - cp2368.nls. И так было бы бесконечно, пока я не загрузился в дискетты в ДОСе и не удалил ndis.sys. Посмотрите, пожалуйста, логи. Кто там пытается перехватывать процессы и потоки? Или так и нужно.
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Осталось поправить мелочь
    в AVZ запустить скрипт:
    Код:
    begin
     AutoFixSPI
    end.
    После удаления ndis.sys возможны проблемы с выходом в Инет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Geser
    Guest
    Было бы не плохо если бы Вы прислали нам этот C:\WINDOWS\system32\drivers\ndis.sys
    если у Вас осталась копия

  13. #12
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    5
    Вес репутации
    63
    Все. Нет больше C:\WINDOWS\system32\drivers\ndis.sys как и самой WINDOWS. Замечательный скрипт. Он прозвучал последним аккордом в этой грустной истории. Если бы Geser сказал немного раньше, я прислал бы эту тварь. Теперь у меня ничего нет. А может и к лучшему. Иногда в доме полезно сделать ремонт. Ну или переставить мебель. Всем спасибо за участие. Дело ваше благородное. Вы напомнили мне Men in black. Так же бескорыстно идете на бой с мерзостью. Дерзайте дальше и не отступайте. А я иду искать в магазин новые версии любимых программ. Это было хорошим уроком.И прекрасной иллюстрацией пренебрежения избитых истин о бесплатном сыре, о том, что все зло от женщин, что скупой платит дважды. Можно продолжать дальше без конца. Всякая революция чего-то стоит, если она умеет защищаться. В.И.Ленин. И система, добавим, тоже...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Не огорчайся. Если огорчил мой скрипт, то он написан по анализу лога HijackThis.

    Кстати, в соседней теме есть советы как восстановить правильный ndis.sys Вкратце, правильный файл из дистрибутива можно положить в system32\dllcache и винда его восстановит.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\cp1041.nls - Trojan-Proxy.Win32.Pixoliz.ib (DrWEB: Trojan.Packed.76)
      2. c:\\system volume information\\_restore{6e4ae20e-8043-49ed-89fc-0c6bd0ef10c0}\\rp20\\a0035116.sys - Trojan-Mailfinder.Win32.Agent.s (DrWEB: Trojan.EmailSpy)
      3. c:\\windows\\system32\\wincom32.sys - Email-Worm.Win32.Zhelatin.d (DrWEB: BackDoor.Groan)
      4. c:\\windows\\system32\\zcneiv32.dll - Backdoor.Win32.Agent.fo (DrWEB: Trojan.DownLoader.18377)


  • Уважаемый(ая) иван иваныч, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Периодическая перезагрузка компьютера
      От Cke4 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 26.08.2010, 13:06
    2. Цикличная перезагрузка компьютера
      От Скиф в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.12.2009, 15:46
    3. Периодическая перезагрузка системы
      От sky-wheel в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.06.2009, 14:34
    4. автоматическая перезагрузка XP
      От Awdik в разделе Помогите!
      Ответов: 29
      Последнее сообщение: 22.02.2009, 07:36
    5. Ответов: 4
      Последнее сообщение: 23.10.2008, 10:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00849 seconds with 20 queries