alexandru Опубликовано 21 января, 2008 Жалоба Поделиться Опубликовано 21 января, 2008 Будьте добры посмотрите логи . Комп ребенка и он панаустанавливал разных вещей, что даже при включение появляется надпись что виндос не может найти данного пользователя Доктор веб нашёл 3 зловредов и удалил.hijackthis.rarvirusinfo_syscheck.zipvirusinfo_syscure.zip hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 21 января, 2008 Жалоба Поделиться Опубликовано 21 января, 2008 выполните скрипт beginSearchRootkit(true, true); SetAVZGuardStatus(True); StopService('PavSRK.sys'); QuarantineFile('C:\WINDOWS\system32\PavSRK.sys',''); QuarantineFile('C:\WINDOWS\system32\imglog.scr',''); ClearHostsFile; BC_QrSvc('PavSRK.sys'); BC_ImportAll; BC_Activate; end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ Ссылка на комментарий Поделиться на другие сайты Поделиться
alexandru Опубликовано 21 января, 2008 Автор Жалоба Поделиться Опубликовано 21 января, 2008 После первого скрипта комп сам не перезагрузился сылку отправил через приват. если я правильно понял то ПМ вроде оно Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 21 января, 2008 Жалоба Поделиться Опубликовано 21 января, 2008 В карантин ничего не попало, поищите вручную (можно через AVZ-серис - поиск файлов) файлы C:\WINDOWS\system32\PavSRK.sys C:\WINDOWS\system32\imglog.scr и добавьте в карантин и самостоятельно проверьте на virustotal.com, если будет подозрение - отправьте на newvirua[at]kaspersky.com скажите о результатах, если обнаружится вирус, будем удалять скриптом. Ссылка на комментарий Поделиться на другие сайты Поделиться
alexandru Опубликовано 21 января, 2008 Автор Жалоба Поделиться Опубликовано 21 января, 2008 Поиск ничего не дал. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 22 января, 2008 Жалоба Поделиться Опубликовано 22 января, 2008 (изменено) HijackThis v2.0.2 - скачайте новую версию Панда антивирус ставили? Если ставили и позже удалили, возможно остались следы выполните скрипт (проверим ещё кое-что, если чистые - пойдут в базу безопасных) beginSearchRootkit(true, true); SetAVZGuardStatus(True); StopService('TSClient'); StopService('ComFiltr'); StopService('PavSRK.sys'); SetServiceStart('PavSRK.sys', 4); QuarantineFile('C:\WINDOWS\system32\drivers\tsclient.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\COMFiltr.sys',''); QuarantineFile('C:\WINDOWS\system32\CEUTIL.dll',''); QuarantineFile('c:\progra~1\kanguru\kanguru.exe',''); DeleteFile('C:\WINDOWS\system32\PavSRK.sys'); DeleteFile('C:\WINDOWS\system32\imglog.scr'); BC_QrSvc('ComFiltr'); BC_QrSvc('TSClient'); BC_DeleteSvc('PavSRK.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. после перезагрузки ещё beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ сделайте новые логи Изменено 22 января, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
alexandru Опубликовано 22 января, 2008 Автор Жалоба Поделиться Опубликовано 22 января, 2008 hijackthis.rar Панда была когда комп брали Этот скрипт я не выплнил QuarantineFile('c:\progra~1\kanguru\kanguru.exe','');- это модем такой hijackthis.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 22 января, 2008 Жалоба Поделиться Опубликовано 22 января, 2008 Я имел ввиду повторить логи и AVZ тоже kanguru.exe знаю, что модем, с тем же именем и троян встречается, если верить Symantec, но этот находится в правильном месте, хотел в базу безопасных добавить ) в карантине только CEUTIL.dll - он чистый Ссылка на комментарий Поделиться на другие сайты Поделиться
alexandru Опубликовано 23 января, 2008 Автор Жалоба Поделиться Опубликовано 23 января, 2008 virusinfo_syscure.zipvirusinfo_syscheck.zip вот ещё логи virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 24 января, 2008 Жалоба Поделиться Опубликовано 24 января, 2008 alexandru: в логах ничего подозрительного не вижу, проблемы какие-то наблюдаются? Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы. Если антивируса панды больше нет, можно почистить остатки от него, выполнив скрипт beginSearchRootkit(true, true); SetAVZGuardStatus(True); StopService('ComFiltr'); DeleteService('ComFiltr'); DeleteFile('C:\WINDOWS\system32\DRIVERS\COMFiltr.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. >> Службы: разрешена потенциально опасная служба TermService (Servicos de terminal)>> Службы: разрешена потенциально опасная служба SSDPSRV (Servico de identificacao SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Programador de tarefas) >> Службы: разрешена потенциально опасная служба mnmsrvc (Partilha remota do ambiente de trabalho do NetMeeting) >> Службы: разрешена потенциально опасная служба RDSessMgr (Gestor de sessoes de ajuda do 'Ambiente de trabalho remoto') >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: разрешен автоматический вход в систему что из этого не нужно? Ссылка на комментарий Поделиться на другие сайты Поделиться
alexandru Опубликовано 25 января, 2008 Автор Жалоба Поделиться Опубликовано 25 января, 2008 Проблема только одна.При включении компа всегда выходит сообщение что "система не может начать работу.Удостовертись что имя и домен правильные" Я нажимаю на ок и винда грузится нормально. Из всего этого надо оставить >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) остальное можно убрать Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 26 января, 2008 Жалоба Поделиться Опубликовано 26 января, 2008 Выполните скрипт beginRegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0'); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); end. Если хотите службу терминалов оставить, уберите из скрипта SetServiceStart('TermService', 4); Проблема входа домен не связана со зловредами (пинг проходит до контроллера домена проходит по имени и по ip? Пробовали выводить машину из домена, удалять комп в домене и снова вводить в домен? Настройки DNS верные, что в логах собыитий?). Можете убрать из автозагрузки временно то, что не очень нужно (пофиксить в HJT, если что, потом можно восстановить), напр. в автозагрузке скорее всего не нужны Kanguru.exe, WkUFind.exe, InternetCalls.exe, msnmsgr.exe и пр. >> Таймаут завершения служб находится за пределами допустимых значений Если сами специально этот параметр не трогали, запустите в AVZ Мастер поиска и устранения проблем и исправьте найденные проблемы. Ссылка на комментарий Поделиться на другие сайты Поделиться
alexandru Опубликовано 26 января, 2008 Автор Жалоба Поделиться Опубликовано 26 января, 2008 Профиксил пару позиций сообщение больше не вылазит. Спасибо Pili :blush2: Специально этот параметр не трогал. > Таймаут завершения служб находится за пределами допустимых значений После запуска АВЗ осталось тоже самое А что это такое ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 26 января, 2008 Жалоба Поделиться Опубликовано 26 января, 2008 Олег Зайцев объясняет это так: Таймаут завершения служб находится за пределами допустимых значений - это нужно понимать буквально. Какой-то кривой твикер решил "ускорить" работу системы, предписав таймаут на завершение служб порядка 1 секунды. Многие службы за это время понятное дело завершиться не могут, и при завершении ПК система начинает их принудительно прибивать. Последствия понятное дело непредсказуемы. Лечится из меню "Файл/Мастер поиска и устранения проблем" в AVZ Ссылка на комментарий Поделиться на другие сайты Поделиться
alexandru Опубликовано 26 января, 2008 Автор Жалоба Поделиться Опубликовано 26 января, 2008 Понял. Но он у меня не лечится Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 26 января, 2008 Жалоба Поделиться Опубликовано 26 января, 2008 (изменено) Таймаут не лечится, потому что запускается какая-то программа, устанавливающая этот параметр. Деинсталлируйте все, что не особо нужно (особенно из тех что в автозагрузке) и м.б. найдете. попробуйте ещё выполнить скрипт beginExecuteRepair(6); ExecuteRepair(7); ExecuteRepair(9); RebootWindows(true); end. Изменено 26 января, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти