Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

NT AUTHORY SYSTEM-как следствие; а причина...? (заявка № 8163)

  1. #1
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40

    NT AUTHORY SYSTEM-как следствие; а причина...?

    Я находился на одном из сайтов развлекательного плана-www.frogsex.com
    где и подцепил Torjan Muldrop. 5450. Сразу же появился диалог Windows, что
    произойдёт перезагрузка NT AUTHORY SYSTEM ЧЕРЕЗ минуту (обратный отсчёт).
    Внизу этого <<квадратного>> диалога также была написана причина, что: произошло преждевременное отключение серверных процессов DCOM WINDOWS-поэтому необходимо перезагрузить состему. К сожалению в этот день (2 февраля 2007) я
    не обновился перед выходом в Интернет!
    Свой HARD я подключал к др. компам как SLAVE - на которых имелись и
    обновлялись разл. антивирусные программы. Но ни Symantec; ни NOB 32 - ничего
    даже и подозрительного не нашли!
    Пробовал и Cureit-ом самого Dr.Web-а....... С болванки CD-RW запускал
    - где и нашёл вышеупомянутый троян. Но когда свой HARD обратно ставил на свой
    комп - то всёравно и в безопасном и простом режимах ничего не выходило - окно
    с диалогом беспощадно появлялось и через минуту всё перезагружалосьюю и т.д..
    Попробовал найти выход, чтобы чистить на своём родном компе с помощью Dr.Web, обновившись перед этом через Автоматическое обновление..............
    Этот сделал с помощью загрузочного диска Windows XP, где выбирая новую устано
    вку XP-выбрал далее в этом разделе << попробовать восстановить предыдущую
    систему>> и нажал R........
    Что задумал получилось. Я обновился и перед сканированием своих логических дисков (HARD-а) предварительно изменил настройки МОЙ КомпьЮТЕР т.е
    поставил галку в его свойствах <<Снять восстановление системы>>. А потом в
    своиствах каждого лог. диска тоже такм где чистка диска - потом появилась
    вкладка ДОПОЛНИТЕЛЬНО - на которой внизу, где раздел ВОССТАНОВЛЕНИЕ СИСТЕМЫ - нажал на функцию удаление контрольных точек......
    Когда я сканировал вчера, не снимая восстановление системы - Dr.Web
    нашёл 5 вирусов разл. толка.
    Потом уже 18 февраля после очередного обновления Dr.Web 13:18 просканировал ещё раз... Ни утром - ни после выхода очередного обновления Dr.Web ничего больше не нашёл........

    Помогите пожалуста восстановить мою систему; тупую переустановку лишний раз - не вижу смысла делать (обезъянья работа....)!

    P.s.: К Ric-у и Gesser-у обращаюсь в первую очередь.
    С уважением, RAR.
    Вложения Вложения
    Последний раз редактировалось RAR; 27.02.2007 в 20:10. Причина: Прикрепить НОВЫЕ файлы .log

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    91
    Сделайте логи согласно правилам, пожалуйста.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    C:\WINDOWS\system32\usr32.dll - это кто будет ? Пришлите его по правилам .

    вот скрипт AVZ, если так не получиться :

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\usr32.dll','');
    RebootWindows(false);
    end.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    По поводу падения svchost:

    http://forum.kaspersky.com/index.php?showtopic=30127
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    + AVZ - "Сервис"=>"Поиск данных в реестре"
    Образец: usr32.dll
    Сохраните протокол результатов поиска и добавьте в следующее сообщение.
    Последний раз редактировалось anton_dr; 26.02.2007 в 19:45. Причина: орфография :)

  7. #6
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    RiC ! Я добавил в начало открытой мною темы Export.txt.

    P.s.: Попробую прислать ZIP-архив - с usr32.dll
    С уважением, RAR.

  8. #7
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    Нет; не получилось его скопировать и прочесть тоже...... Не даётся так просто этот usr32.dll !

    P.s.: У меня реестр из 5-и разделов. Почему в AVZ нет пятого - в парамет
    рах настройки <<ПОИСКА ДАННЫХ В РЕЕСТРЕ>>; это: HKEY_CURRENT_CONFIG ?
    Дальше-то, что необходимо сделать?
    Ответьте пожалуйста, RiC.
    RAR.
    Последний раз редактировалось anton_dr; 27.02.2007 в 06:39.

  9. #8
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    drongo!
    Как скрипт пошагово <<загонять то>>в AVZ.......?
    У меня произошёл перезагруз-да и только, когда в меню файл-выполнить скрипт! Или не правильно..........?
    Ответьте мне пожалуйста.
    P.s.: Я добавил в карантин; потом просмотрел сам карантин и заархивировал. Правильно?
    Цепляю этот файл о USR32.dll.
    RAR

    [moderated] Затребованные файлы нужно отправлять согласно приложения 2 правил (через страничку загрузки)
    Последний раз редактировалось Shu_b; 27.02.2007 в 11:21. Причина: Прицепить virus.zip

  10. #9

  11. #10
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    Shu_b!
    Вы мне предоставили ссылку:http://virusinfo.info/showthread.php...62#post97462-Я понял что касаемо моей проблемы. СПАСИБО.
    Но чё нужно (какие шаги) сделать-то. Подскажите пож-та -что
    дальше делать, а то вторые сутки на месте топчусь!!!!!
    Жду ответа.
    RAR

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    AVZ - Файл - Выполнить скрипт
    Выполните следующий скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\usr32.dll');
    BC_ImportDeletedList; 
    ExecuteSysClean;  
    BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
    BC_Activate; 
    RebootWindows(true); 
    end.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    Дорогой Kps. А дальше что надо делать после выполнения? Дальше то что
    необходимо выполнить?
    Ответьте пожалуйста!
    С уважением, RAR.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Да, необходимо выполнить, если просят. Не нужно лс и переспрашивать. Не помешает посмотреть, то что теперь происходит ( После выполнения скрипта Kps !!! ) Новые 3 лога из правил , пожалуйста.+ boot_clr.log из папки AVZ прикрепить к теме .

  15. #14
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    Спасибо ребята! usr32.dll-удалился вроде! Дальше, что будем делать........?
    3 свежих лог-файла по этому вопросу прицепляю в свою тему.
    Жду дальнейших указаний.
    RAR.

  16. #15
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    РЕБЯТА. Сразу же пишу отдельным постом касаемо-этой же темы; но очередная проблема теперь уже с службами. Подозреваю, что неправильные настройки в:
    : Локатор удалённого вызова процедур (RPC); Точно - запуск серверных процес-
    сов DCOM; Windows Installer и может быть ещё др. ЧТО-НИТЬ.
    Дело в том, что появились проблемы с вновь устанавливаемыми
    программами - не удаётся установить. Проблемы и с запусками: Сократ Персо-
    нальный 4.1. при запуске виснет; а программа с которой мне приходилось работать ранее из 3-х процессов (приложений запуска) - последний не запускает
    -Я как обычно в ручную нажимаю, чтобы запустить - а она [ORTrade.exe]-не за-
    пускается. Её элемент находится у меня в автозагрузке [orschd.exe].
    Я связываю это с таймером серверных процессов DCOM, который был отключен вручную мною и потом мною изменён в целом как служба. В службе
    стояла перезагрузка компа через 1 минуту-Я оставил не делать никаких действий
    Она при запуске вручную - запускалась, но потом выдавала ошибку 1053.
    Я, к сожалению поменял ту учётную запись, которая уже была; на ней был пароль
    А потом-понял, что зря делал т.к. причина могла быть в другом! И возвращая
    прежнюю учётную запись-уже не смог подобрать пароль.
    Что теперь делать не знаю ? Пробовал через загр. диск: Установка
    XP=>ввод=>Восстановить [R]- где после этой процедуры всё работала-но на разок. Т.к. при выключении или перезагрузке; или создания контрольной точки уже было по прежнему.
    В загр. диске, где установка XP, есть функция ВОССТАНОВИТЬ, используя
    консоль восстановления, но я эту функцию пока не применял.
    Что можно сделать, чтобы вернуть прежний корретный вид служб и работу
    уже установленных программ. Не загружаться же постоянно с диска ~25 минут!
    Помогите убрать этот кабардак пожалуйста.

    С уважением, RAR.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Взять диск с дистрибутивом XP в Пуск->Выполнить написать команду sfc /scannow но компакт диск должен быть оригинальным или его полной копией.

  18. #17
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    RiC! Спасибо за ответ - но я уже вроде решил эту задачу с службами
    Windows; вчера восстановил-а сегодня пришёл с работы и всё вроде заработало.
    Т.к. Я открыл тему по своей проблеме, то кроме сбоя служб,
    которые я сам обнаружил - первостепенно была нужна помощь ребят,
    которые захотели откликнуться на мою беду.
    Т.к. Вы ребята всё это время мне помогали, то мне сегодня хотелось финализировать свою тему этим постом; Я хочу спросить у Вас-
    <<Мы всё подчистили и удалили или же есть какие то предложения и
    советы для меня ещё, чтобы до конца всё подозрительное изучить вместе
    и удалить?>>. Файлы: Orchd.exe и ORTrade.exe-это проверенные годами
    файлы и я их использую в одной из программ...... В автозагрузке есть ещё
    и NMBigMonitor.exe - если ответите на мой пост-то пришлю!
    Что нужно мне ещё прислать-чтобы наверняка закрыть начатую тему до конца?
    В начале темы Я говорил про таймер и отключение серверных процессов DCOM с перезагрузкой системы-т.е.сбой. Я понял,
    что его настройки были изменены кем то. Я их вернул в прежнее русло.
    Но всё остальное, касаемо вредоносных и подобных игрушек - остаётся
    до конца за Вами......
    Можно ли считать, что всё удалили и нашли; или......?
    Ответьте на этот пост пожалуйста т.к. не вижу пока больше смысла
    переписываться в одиночку и искать что то ещё у себя в компе без
    Вашей квалифицированной помощи! ИЗВИНИТЕ ЧТО РАЗМАЗАЛ ПОСТ!!

    С уважением, RAR.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Цитата Сообщение от RAR Посмотреть сообщение
    ...или же есть какие то предложения и
    советы для меня ещё, ....
    Небольшой совет.
    Старайтесь не устанавливать программмы в директории с русскими наименованиями. Особенно это касается таких приложений как Drweb.
    Вы можете заиметь проблемы с их работой.
    Код:
    C:\9E9E~1\DrWeb\SpiderNT.exe
    C:\проги\DrWeb\drwebscd.exe
    C:\9E9E~1\DrWeb\spidernt.exe
    C:\проги\DrWeb\spiderml.exe
    Создайте лучше "progs" и переустановите его туда.

  20. #19
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    Shu_b! Я Вас понял поверхностно. А код, который Вы запостили-им что
    хотите мне сказать? Если Я использую этот код - через кнопку ВЫПОЛНИТЬ-то потом как в новую папку то переносить?
    Самое главное: МОЖНО СЧИТАТЬ, ЧТО Я ОЧИСТИЛСЯ ОТ
    ВСЕЙ ЗАРАЗЫ ПОЛНОСТЬЮ ИЛИ НЕТ. После всего, что советовали в постах
    -проделал? Или Нет? Ответте мне однозначно пожалуйста.
    Меня Сейчас это в первую очередь интересует!
    RAR.

  21. #20
    Junior Member Репутация
    Регистрация
    24.02.2007
    Сообщений
    42
    Вес репутации
    40
    NickGolovko! Вы в одном из постов написали-По поводу падения svchost:
    http://forum.kaspersky.com/index.php?showtopic=30127..............
    С брандмауером всё понятно! А вот с: <<Установить патч от Microsoft для NetAPI: http://www.microsoft.com/downloads/details...1a-46b3eac7a305>>-не совсем. Например: Есть ли разница его ставить до или
    после всех критических обновлений (Windows; Explorer; Microsoft OFFICE)?
    И куда он будет устанавливаться (директория)? Что такое NetAPI?
    Ответьте пожалуйста!

    С уважением, RAR.

  • Уважаемый(ая) RAR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. NT AUTHORY SYSTEM
      От anat9 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.03.2011, 00:00
    2. Киберпреступность как следствие образования
      От SDA в разделе Общая сетевая безопасность
      Ответов: 0
      Последнее сообщение: 12.11.2009, 11:08
    3. Ответов: 0
      Последнее сообщение: 23.03.2009, 12:47
    4. Ответов: 4
      Последнее сообщение: 13.03.2009, 23:20
    5. System error! Some dangerous trojan horses detected on your system
      От shyp117 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.07.2008, 01:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00799 seconds with 17 queries