Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

Будьте добры посмотрите логи . Комп ребенка и он панаустанавливал разных вещей, что даже при включение появляется надпись что виндос не может найти данного пользователя

Доктор веб нашёл 3 зловредов и удалил.hijackthis.rarvirusinfo_syscheck.zipvirusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

выполните скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('PavSRK.sys');

QuarantineFile('C:\WINDOWS\system32\PavSRK.sys','');

QuarantineFile('C:\WINDOWS\system32\imglog.scr','');

ClearHostsFile;

BC_QrSvc('PavSRK.sys');

BC_ImportAll;

BC_Activate;

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

Ссылка на комментарий
Поделиться на другие сайты

После первого скрипта комп сам не перезагрузился

сылку отправил через приват.

если я правильно понял то ПМ вроде оно

Ссылка на комментарий
Поделиться на другие сайты

В карантин ничего не попало, поищите вручную (можно через AVZ-серис - поиск файлов) файлы

C:\WINDOWS\system32\PavSRK.sys

C:\WINDOWS\system32\imglog.scr

и добавьте в карантин и самостоятельно проверьте на virustotal.com, если будет подозрение - отправьте на newvirua[at]kaspersky.com

скажите о результатах, если обнаружится вирус, будем удалять скриптом.

Ссылка на комментарий
Поделиться на другие сайты

HijackThis v2.0.2 - скачайте новую версию

Панда антивирус ставили? Если ставили и позже удалили, возможно остались следы

выполните скрипт (проверим ещё кое-что, если чистые - пойдут в базу безопасных)

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('TSClient');

StopService('ComFiltr');

StopService('PavSRK.sys');

SetServiceStart('PavSRK.sys', 4);

QuarantineFile('C:\WINDOWS\system32\drivers\tsclient.sys','');

QuarantineFile('C:\WINDOWS\system32\DRIVERS\COMFiltr.sys','');

QuarantineFile('C:\WINDOWS\system32\CEUTIL.dll','');

QuarantineFile('c:\progra~1\kanguru\kanguru.exe','');

DeleteFile('C:\WINDOWS\system32\PavSRK.sys');

DeleteFile('C:\WINDOWS\system32\imglog.scr');

BC_QrSvc('ComFiltr');

BC_QrSvc('TSClient');

BC_DeleteSvc('PavSRK.sys');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

после перезагрузки ещё

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

сделайте новые логи

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

hijackthis.rar

Панда была когда комп брали

Этот скрипт я не выплнил QuarantineFile('c:\progra~1\kanguru\kanguru.exe','');- это модем такой

hijackthis.rar

Ссылка на комментарий
Поделиться на другие сайты

Я имел ввиду повторить логи и AVZ тоже

kanguru.exe знаю, что модем, с тем же именем и троян встречается, если верить Symantec, но этот находится в правильном месте, хотел в базу безопасных добавить )

в карантине только CEUTIL.dll - он чистый

Ссылка на комментарий
Поделиться на другие сайты

alexandru: в логах ничего подозрительного не вижу, проблемы какие-то наблюдаются?

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы.

Если антивируса панды больше нет, можно почистить остатки от него, выполнив скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('ComFiltr');

DeleteService('ComFiltr');

DeleteFile('C:\WINDOWS\system32\DRIVERS\COMFiltr.sys');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

>> Службы: разрешена потенциально опасная служба TermService (Servicos de terminal)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Servico de identificacao SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Programador de tarefas)

>> Службы: разрешена потенциально опасная служба mnmsrvc (Partilha remota do ambiente de trabalho do NetMeeting)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Gestor de sessoes de ajuda do 'Ambiente de trabalho remoto')

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: разрешен автоматический вход в систему

что из этого не нужно?

Ссылка на комментарий
Поделиться на другие сайты

Проблема только одна.При включении компа всегда выходит сообщение что "система не может начать работу.Удостовертись что имя и домен правильные" Я нажимаю на ок и винда грузится нормально.

Из всего этого надо оставить

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

остальное можно убрать

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт

begin

RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0');

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

SetServiceStart('RDSessMgr', 4);

SetServiceStart('mnmsrvc', 4);

SetServiceStart('Schedule', 4);

SetServiceStart('SSDPSRV', 4);

SetServiceStart('TermService', 4);

end.

Если хотите службу терминалов оставить, уберите из скрипта SetServiceStart('TermService', 4);

Проблема входа домен не связана со зловредами (пинг проходит до контроллера домена проходит по имени и по ip? Пробовали выводить машину из домена, удалять комп в домене и снова вводить в домен? Настройки DNS верные, что в логах собыитий?). Можете убрать из автозагрузки временно то, что не очень нужно (пофиксить в HJT, если что, потом можно восстановить), напр. в автозагрузке скорее всего не нужны Kanguru.exe, WkUFind.exe, InternetCalls.exe, msnmsgr.exe и пр.

>> Таймаут завершения служб находится за пределами допустимых значений

Если сами специально этот параметр не трогали, запустите в AVZ Мастер поиска и устранения проблем и исправьте найденные проблемы.

Ссылка на комментарий
Поделиться на другие сайты

Профиксил пару позиций сообщение больше не вылазит. Спасибо Pili :blush2:

Специально этот параметр не трогал.

> Таймаут завершения служб находится за пределами допустимых значений

После запуска АВЗ осталось тоже самое

А что это такое ?

Ссылка на комментарий
Поделиться на другие сайты

Олег Зайцев объясняет это так:

Таймаут завершения служб находится за пределами допустимых значений - это нужно понимать буквально. Какой-то кривой твикер решил "ускорить" работу системы, предписав таймаут на завершение служб порядка 1 секунды. Многие службы за это время понятное дело завершиться не могут, и при завершении ПК система начинает их принудительно прибивать. Последствия понятное дело непредсказуемы. Лечится из меню "Файл/Мастер поиска и устранения проблем" в AVZ
Ссылка на комментарий
Поделиться на другие сайты

Таймаут не лечится, потому что запускается какая-то программа, устанавливающая этот параметр. Деинсталлируйте все, что не особо нужно (особенно из тех что в автозагрузке) и м.б. найдете.

попробуйте ещё выполнить скрипт

begin

ExecuteRepair(6);

ExecuteRepair(7);

ExecuteRepair(9);

RebootWindows(true);

end.

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...