Посмотрите логи

[alexandru]

Будьте добры посмотрите логи . Комп ребенка и он панаустанавливал разных вещей, что даже при включение появляется надпись что виндос не может найти данного пользователя

Доктор веб нашёл 3 зловредов и удалил.hijackthis.rarvirusinfo_syscheck.zipvirusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Pili]

выполните скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('PavSRK.sys');

QuarantineFile('C:\WINDOWS\system32\PavSRK.sys','');

QuarantineFile('C:\WINDOWS\system32\imglog.scr','');

ClearHostsFile;

BC_QrSvc('PavSRK.sys');

BC_ImportAll;

BC_Activate;

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

[alexandru]

После первого скрипта комп сам не перезагрузился

сылку отправил через приват.

если я правильно понял то ПМ вроде оно

[Pili]

В карантин ничего не попало, поищите вручную (можно через AVZ-серис - поиск файлов) файлы

C:\WINDOWS\system32\PavSRK.sys

C:\WINDOWS\system32\imglog.scr

и добавьте в карантин и самостоятельно проверьте на virustotal.com, если будет подозрение - отправьте на newvirua[at]kaspersky.com

скажите о результатах, если обнаружится вирус, будем удалять скриптом.

[alexandru]

Поиск ничего не дал.

[Pili]

HijackThis v2.0.2 - скачайте новую версию

Панда антивирус ставили? Если ставили и позже удалили, возможно остались следы

выполните скрипт (проверим ещё кое-что, если чистые - пойдут в базу безопасных)

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('TSClient');

StopService('ComFiltr');

StopService('PavSRK.sys');

SetServiceStart('PavSRK.sys', 4);

QuarantineFile('C:\WINDOWS\system32\drivers\tsclient.sys','');

QuarantineFile('C:\WINDOWS\system32\DRIVERS\COMFiltr.sys','');

QuarantineFile('C:\WINDOWS\system32\CEUTIL.dll','');

QuarantineFile('c:\progra~1\kanguru\kanguru.exe','');

DeleteFile('C:\WINDOWS\system32\PavSRK.sys');

DeleteFile('C:\WINDOWS\system32\imglog.scr');

BC_QrSvc('ComFiltr');

BC_QrSvc('TSClient');

BC_DeleteSvc('PavSRK.sys');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

после перезагрузки ещё

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

сделайте новые логи

Изменено 22 января, 2008 пользователем Pili

[alexandru]

hijackthis.rar

Панда была когда комп брали

Этот скрипт я не выплнил QuarantineFile('c:\progra~1\kanguru\kanguru.exe','');- это модем такой

hijackthis.rar

[Pili]

Я имел ввиду повторить логи и AVZ тоже

kanguru.exe знаю, что модем, с тем же именем и троян встречается, если верить Symantec, но этот находится в правильном месте, хотел в базу безопасных добавить )

в карантине только CEUTIL.dll - он чистый

[alexandru]

virusinfo_syscure.zipvirusinfo_syscheck.zip вот ещё логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Pili]

alexandru: в логах ничего подозрительного не вижу, проблемы какие-то наблюдаются?

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы.

Если антивируса панды больше нет, можно почистить остатки от него, выполнив скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('ComFiltr');

DeleteService('ComFiltr');

DeleteFile('C:\WINDOWS\system32\DRIVERS\COMFiltr.sys');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

>> Службы: разрешена потенциально опасная служба TermService (Servicos de terminal)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Servico de identificacao SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Programador de tarefas)

>> Службы: разрешена потенциально опасная служба mnmsrvc (Partilha remota do ambiente de trabalho do NetMeeting)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Gestor de sessoes de ajuda do 'Ambiente de trabalho remoto')

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: разрешен автоматический вход в систему

что из этого не нужно?

[alexandru]

Проблема только одна.При включении компа всегда выходит сообщение что "система не может начать работу.Удостовертись что имя и домен правильные" Я нажимаю на ок и винда грузится нормально.

Из всего этого надо оставить

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

остальное можно убрать

[Pili]

Выполните скрипт

begin

RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0');

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

SetServiceStart('RDSessMgr', 4);

SetServiceStart('mnmsrvc', 4);

SetServiceStart('Schedule', 4);

SetServiceStart('SSDPSRV', 4);

SetServiceStart('TermService', 4);

end.

Если хотите службу терминалов оставить, уберите из скрипта SetServiceStart('TermService', 4);

Проблема входа домен не связана со зловредами (пинг проходит до контроллера домена проходит по имени и по ip? Пробовали выводить машину из домена, удалять комп в домене и снова вводить в домен? Настройки DNS верные, что в логах собыитий?). Можете убрать из автозагрузки временно то, что не очень нужно (пофиксить в HJT, если что, потом можно восстановить), напр. в автозагрузке скорее всего не нужны Kanguru.exe, WkUFind.exe, InternetCalls.exe, msnmsgr.exe и пр.

>> Таймаут завершения служб находится за пределами допустимых значений

Если сами специально этот параметр не трогали, запустите в AVZ Мастер поиска и устранения проблем и исправьте найденные проблемы.

[alexandru]

Профиксил пару позиций сообщение больше не вылазит. Спасибо Pili :blush2:

Специально этот параметр не трогал.

> Таймаут завершения служб находится за пределами допустимых значений

После запуска АВЗ осталось тоже самое

А что это такое ?

[Pili]

Олег Зайцев объясняет это так:

Таймаут завершения служб находится за пределами допустимых значений - это нужно понимать буквально. Какой-то кривой твикер решил "ускорить" работу системы, предписав таймаут на завершение служб порядка 1 секунды. Многие службы за это время понятное дело завершиться не могут, и при завершении ПК система начинает их принудительно прибивать. Последствия понятное дело непредсказуемы. Лечится из меню "Файл/Мастер поиска и устранения проблем" в AVZ

[alexandru]

Понял. Но он у меня не лечится

[Pili]

Таймаут не лечится, потому что запускается какая-то программа, устанавливающая этот параметр. Деинсталлируйте все, что не особо нужно (особенно из тех что в автозагрузке) и м.б. найдете.

попробуйте ещё выполнить скрипт

begin

ExecuteRepair(6);

ExecuteRepair(7);

ExecuteRepair(9);

RebootWindows(true);

end.

Изменено 26 января, 2008 пользователем Pili