Показано с 1 по 13 из 13.

RPC служба не запускается. (заявка № 94116)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2010
    Сообщений
    8
    Вес репутации
    49

    Cool RPC служба не запускается.

    Добрый день!

    Компьютер не мой. Родственника. Win XP SP3.
    Словил он NT AUTHORITY 60 СЕКУНД.
    Пробовал зачистить с помощью AVPTool, CureIt, FixBlast и т.д. Всё чисто.
    Пытался запускать AVZ, чтобы получить логи. На этапе сохранения логов, программа зависала.
    Запустил ComboFix, нашла пару неправильных файлов, удалила их и зависла на этапе сохранения логов.
    Но при перезагрузке был обнаружен ей инфицированный файл regedit.exe и вылечен.
    После этого NT AUTHORITY перестало выскакивать и логи стали сохраняться.
    Но на текущий момент не запускается служба RPC со всеми вытекающими - не могу отключить восстановление (как требуется для логов), не установить что либо - Windows Installer не доступен, не перенести файлы (копировать/вставить), не запустить IE и т.д.
    Пишу с этого компа, через оперу. Файлы не могу добавить в один архив.
    Выкладываю как есть.
    Подскажите плиз, что можно сделать?
    sfc /scannow отработал.
    Диск не требовал, ничего не нашёл.
    Симптомы не изменились:
    RPC служба не стартанула, IE не запускается, Windows Installer так же не работает.
    Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Обновите базы AVZ.
    Если базы не обновляются через меню Файл, скачайте архив баз
    http://z-oleg.com/secur/avz_up/avzbase.zip
    и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

    Сделайте заново логи AVZ.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    23.12.2010
    Сообщений
    8
    Вес репутации
    49
    Готово!

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\43D6~1\LOCALS~1\Temp\lredbooo.sys','');
     DeleteFile('C:\DOCUME~1\43D6~1\LOCALS~1\Temp\lredbooo.sys');
     BC_DeleteSvc('lredbooo');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и приложите в теме.

    Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
    http://virusinfo.info/showthread.php?t=3519
    Информацию о загрузке приложите здесь.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    23.12.2010
    Сообщений
    8
    Вес репутации
    49
    Файл сохранён как 101223_155408_quarantine_4d13467082daf.zip
    Размер файла 622
    MD5 d5563a7b6668c207f3cc86fabf6d5394

  7. #6
    Junior Member Репутация
    Регистрация
    23.12.2010
    Сообщений
    8
    Вес репутации
    49
    Результат загрузкиФайл сохранён как 101223_170631_virusinfo_files_DIMON_4d135767e2b23. zip
    Размер файла 16651614
    MD5 5cb4587da8ee29c9644132ceb7485d6e

    Добавлено через 1 час 55 минут

    Сейчас включил службу RPC
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcSs Start (DWORD) в значение 2.
    Перегрузил машину и опять стало выскакивать NT AUTHORITY - 60 секунд
    Сижу жму shutdown -a.
    Последний раз редактировалось Димитрий2010; 23.12.2010 в 19:08. Причина: Добавлено

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    sfc /scannow нужно сделать установив диск с дистрибутивом системы в cd-rom.
    Через управление компьютером - службы - удаленный вызов процедур (RPC) - тип запуска в Авто - Пуск в безопасном режиме. Так пробовали?
    Paula rhei.
    Поддержать проект можно тут

  9. #8
    Junior Member Репутация
    Регистрация
    23.12.2010
    Сообщений
    8
    Вес репутации
    49
    К сожалению, установочный диск Windows XP уже не найти. Года три назад систему устанавливли. От Висты не подойдёт?
    sfc /scannow прогонял, но в обычном режиме, попробую ещё в безопасном.

    А выбрать тип запуска службы не могу, кнопки "действия" там недоступны.

    Есть лог ComboFix, там найдено :
    c:\windows\regedit.exe . . . is infected!!
    Вложения Вложения

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Сканирование cureit делали полное?
    Запакуйте c:\windows\regedit.exe в zip-архив c паролем virus и пришлите по правилам.
    Замените этот файл на чистый из дистрибутива.

    Цитата Сообщение от Димитрий2010 Посмотреть сообщение
    От Висты не подойдёт?
    нет, нужен диск имеено с тем сервис паком и системой, что у Вас установлена.
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    23.12.2010
    Сообщений
    8
    Вес репутации
    49
    Сканирование CureIt делал полное.
    Ничего подозрительного обнаружено не было.

    Файл сохранён как 101224_150149_regedit_4d148bad6722d.zip
    Размер файла 59301
    MD5 a5dd4b42e8cbfabcd3f71c78a0b5323d

    Файл закачан.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    c:\windows\regedit.exe - чистый
    Paula rhei.
    Поддержать проект можно тут

  13. #12
    Junior Member Репутация
    Регистрация
    23.12.2010
    Сообщений
    8
    Вес репутации
    49
    ок, понял.

    Похоже стоит сохранить все данные и переустановить систему.

    Спасибо за помощь!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Димитрий2010, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не запускается служба
      От ismail9001 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.02.2012, 12:37
    2. Не запускается служба Сервер
      От bo4karev в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.05.2011, 11:16
    3. Не запускается служба IPsec
      От MArtar в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.05.2010, 21:02
    4. Ответов: 13
      Последнее сообщение: 21.05.2009, 18:18
    5. не запускается DNS-служба
      От KerroL в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 16.05.2009, 14:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00040 seconds with 17 queries