-
Junior Member
- Вес репутации
- 62
Cамоперезагрузка 1 минута (NT AUTHORITY\SYSTEM) c кодом 128
XP SP1, восстановление системы не нашел (а есть ли оно там?)
При загрузке выскакивает окошко на перезагрузку через 1 минуту (NT AUTHORITY\SYSTEM) c кодом 128.
В safe mode не перегружается, но грузит процессор до 90% и память до 400 Мб процессом svchost
Вчера начал лечить. Запустил drweb, он нашел троянца (есть в карантине, могу прислать). Нашел еще 2 подозрительных похожих файла (1 в system32, другой в temp), но drweb не считает их вирусом, на всякий случай тоже убрал.
После перезагрузки в нормальный режим, вроде чисто, стал запускать avz - не может законнектиться на z-oleg.com. Проверил, также не пускает на drweb, касперского, вирусинфо и проч. На остальные сайты - без проблем.
Сегодня продолжил. Все сайты доступны. Не понятно. Вроде все вылечилось. На всякий случай посылаю логи, вдруг что-то осталось.
Еще просьба, если можно убрать всё, что связано с:
-altiris и прочие удаленные администрирования (кроме radmin)
-symantec
-tesontel
Я их удалял-удалял, но что-то осталось. Ноутбук - бывший корпоративный, сейчас мне это не надо.
После лечения собираюсь поставить SP3 и касперского.
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
ExecuteWizard('TSW', 2, 2, true);
DeleteService('AeXNSClient');
DeleteService('WinPPPoverEthernet');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrSocket','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrRT','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrOS Console','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrOS','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrNetworkDriver','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WrFC','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\PPPOE','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\MAC FRAME','EventMessageFile');
end.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
ftp://ftp.symantec.com/public/englis...moval_Tool.exe
-
-
Junior Member
- Вес репутации
- 62
Спасибо.
Восстановление системы вернулось скриптом (в принципе и сам нашел в инете, как его вернуть, если кому интересно http://support.microsoft.com/kb/Q283073 )
Установил SP3 и KIS. Кстати Касперский определил оба подозрительных файла (см. первый топик) как троянов.
-
-