Компьютер не мой. Родственника. Win XP SP3.
Словил он NT AUTHORITY 60 СЕКУНД.
Пробовал зачистить с помощью AVPTool, CureIt, FixBlast и т.д. Всё чисто.
Пытался запускать AVZ, чтобы получить логи. На этапе сохранения логов, программа зависала.
Запустил ComboFix, нашла пару неправильных файлов, удалила их и зависла на этапе сохранения логов.
Но при перезагрузке был обнаружен ей инфицированный файл regedit.exe и вылечен.
После этого NT AUTHORITY перестало выскакивать и логи стали сохраняться.
Но на текущий момент не запускается служба RPC со всеми вытекающими - не могу отключить восстановление (как требуется для логов), не установить что либо - Windows Installer не доступен, не перенести файлы (копировать/вставить), не запустить IE и т.д.
Пишу с этого компа, через оперу. Файлы не могу добавить в один архив.
Выкладываю как есть.
Подскажите плиз, что можно сделать?
sfc /scannow отработал.
Диск не требовал, ничего не нашёл.
Симптомы не изменились:
RPC служба не стартанула, IE не запускается, Windows Installer так же не работает.
Спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Результат загрузкиФайл сохранён как 101223_170631_virusinfo_files_DIMON_4d135767e2b23. zip
Размер файла 16651614
MD5 5cb4587da8ee29c9644132ceb7485d6e
Добавлено через 1 час 55 минут
Сейчас включил службу RPC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcSs Start (DWORD) в значение 2.
Перегрузил машину и опять стало выскакивать NT AUTHORITY - 60 секунд
Сижу жму shutdown -a.
Последний раз редактировалось Димитрий2010; 23.12.2010 в 19:08.
Причина: Добавлено
sfc /scannow нужно сделать установив диск с дистрибутивом системы в cd-rom.
Через управление компьютером - службы - удаленный вызов процедур (RPC) - тип запуска в Авто - Пуск в безопасном режиме. Так пробовали?
К сожалению, установочный диск Windows XP уже не найти. Года три назад систему устанавливли. От Висты не подойдёт?
sfc /scannow прогонял, но в обычном режиме, попробую ещё в безопасном.
А выбрать тип запуска службы не могу, кнопки "действия" там недоступны.
Есть лог ComboFix, там найдено :
c:\windows\regedit.exe . . . is infected!!
Сканирование cureit делали полное?
Запакуйте c:\windows\regedit.exe в zip-архив c паролем virus и пришлите по правилам.
Замените этот файл на чистый из дистрибутива.
Сообщение от Димитрий2010
От Висты не подойдёт?
нет, нужен диск имеено с тем сервис паком и системой, что у Вас установлена.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: