Показать полную графическую версию : [решено] WinXP SP2_проблемы с загрузкой и сетью
kservice
14-11-2010, 13:35
Проблема очень напоминает ранее уже решенную тему (благодаря AlexTNT ,iskander-k) http://forum.oszone.net/thread-189119.html, но сейчас она возникла на рабочем сервере.
Описание:
1) резко возросло время запуска системы
2) в диспетчере отсутствуют имена пользователей
3) пропало сетевое подключение
4) невозможно файлы скопировать с одного диска на другой
5) МВАМ не запускается (run-time error 372)
Пункты 1 и 2 уже знакомы (по предыдущей теме), а вот 3, 4 и 5 - что-то новенькое
Восстановление не работает. Пробовал применить ComboFix - результата нет. Логи сделаны до применения ComboFix
Остановилась вся работа. Сервер работает в сети. Очень жду Вашей помощи! Своими силами сделать ничего не смог.
Добрый день!
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Проверьте файл avz.exe на www.virustotal.com
Дайте ссылку с результатом проверки файла.
Заново скачайте AVZ v4.35 (http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip), обновите базы (Файл -- Обновление баз) и подготовьте логи.
Скачайте RSIT (http://www.virusnet.info/random/RSIT.exe) или c зеркала (http://images.malwareremoval.com/random/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
kservice
14-11-2010, 15:44
Спасибо за ответ
AVZ чистый http://ifolder.ru/20266167
Обновить бызы не могу. Сервер не подключен к интернету, да и сетевое подключение пропало и не создается. Проверял со старыми базами
Почему-то не могу пока прикрепить логи AVZ?!
RSIT_141110_info
info.txt logfile of random's system information tool 1.08 2010-11-14 14:34:17
======Uninstall list======
"1С:Предприятие. Бухгалтерский учет" 7.7 (сетевая версия)-->C:\WINDOWS\UNIN0419.EXE -f"E:\1C7.7\DeIsL1.isu" account -c"E:\1C7.7\BIN\uninst.dll
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
HASP Device Driver-->C:\WINDOWS\system32\UNWISE.EXE C:\WINDOWS\system32\hdd32.log
HASP License Manager-->C:\WINDOWS\system32\UNWISE.EXE C:\WINDOWS\system32\hasplm.log
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe -runfromtemp -removeonly
ShadowUser Pro 2.5-->MsiExec.exe /X{8DD1701B-EEB5-4687-B442-2E5333D831EE}
Архиватор WinRAR (только удаление)-->C:\Program Files\WinRAR\uninstall.exe
Обновление безопасности для Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Securitycenter WMI appears to be broken
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 37 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=2502
"NUMBER_OF_PROCESSORS"=4
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
RSIT_141110_log
Logfile of random's system information tool 1.08 (written by random/random)
Run by Admin at 2010-11-14 14:34:17
WIN_XP Service Pack 2
System drive C: has 22 GB (87%) free of 25 GB
Total RAM: 1948 MB (89% free)
HijackThis download failed
======Registry dump======
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SuNotification"=C:\Program Files\ShadowStor\ShadowUser\suatshut.exe [2005-01-12 40960]
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка
ShadowUser Pro Edition.lnk - C:\Program Files\ShadowStor\ShadowUser\ShadowUser.exe
C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка
_uninst_AVPTool_setup_9.0.0.722_14.11.2010_10-15.exe.lnk - C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_AVPTool_setup_9.0.0.722_14.11.2010_10-15.exe.bat
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sunotify]
C:\WINDOWS\system32\sunotify.dll [2005-01-12 90112]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=67108863
"NoDriveTypeAutoRun"=323
"NoDrives"=0
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\mmc.exe"="C:\WINDOWS\system32\mmc.exe:*:Enabled:Консоль управления (MMC)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
======List of files/folders created in the last 3 months======
2010-11-14 14:34:17 ----D---- C:\rsit
2010-11-14 14:34:17 ----D---- C:\Program Files\trend micro
2010-11-14 14:23:31 ----A---- C:\WINDOWS\system32\drivers\uzq0nze3.sys
2010-11-14 13:11:00 ----A---- C:\WINDOWS\resetlog.txt
2010-11-14 13:09:56 ----D---- C:\ERDNT
2010-11-14 13:09:30 ----D---- C:\Refistry backup_141110
2010-11-14 12:40:59 ----SHD---- C:\RECYCLER
2010-11-14 12:11:40 ----D---- C:\WINDOWS\temp
2010-11-14 12:11:39 ----A---- C:\ComboFix.txt
2010-11-14 12:09:13 ----D---- C:\1326831
2010-11-14 12:04:35 ----ASH---- C:\BOOT.BAK
2010-11-14 12:04:12 ----RASHD---- C:\cmdcons
2010-11-14 12:04:12 ----A---- C:\WINDOWS\UPGRADE.TXT
2010-11-14 12:04:10 ----D---- C:\WINDOWS\setup.pss
2010-11-14 11:43:57 ----A---- C:\WINDOWS\zip.exe
2010-11-14 11:43:57 ----A---- C:\WINDOWS\SWXCACLS.exe
2010-11-14 11:43:57 ----A---- C:\WINDOWS\SWSC.exe
2010-11-14 11:43:57 ----A---- C:\WINDOWS\SWREG.exe
2010-11-14 11:43:57 ----A---- C:\WINDOWS\sed.exe
2010-11-14 11:43:57 ----A---- C:\WINDOWS\PEV.exe
2010-11-14 11:43:57 ----A---- C:\WINDOWS\NIRCMD.exe
2010-11-14 11:43:57 ----A---- C:\WINDOWS\MBR.exe
2010-11-14 11:43:57 ----A---- C:\WINDOWS\grep.exe
2010-11-14 11:43:39 ----D---- C:\WINDOWS\ERDNT
2010-11-14 11:43:38 ----D---- C:\1
2010-11-14 11:43:29 ----D---- C:\Qoobox
2010-11-14 10:18:27 ----D---- C:\Program Files\Антивирусы
2010-11-14 09:03:00 ----A---- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-11-14 09:02:59 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2010-11-14 09:02:59 ----A---- C:\WINDOWS\system32\drivers\mbam.sys
2010-11-14 09:02:58 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-11-13 18:11:50 ----D---- C:\Program Files\Aladdin
2010-11-13 16:57:13 ----A---- C:\WINDOWS\system32\hinstd.dll
2010-11-13 16:56:59 ----A---- C:\WINDOWS\system32\UNWISE.EXE
2010-11-13 16:56:59 ----A---- C:\WINDOWS\system32\nhsrvice.exe
2010-11-13 16:56:59 ----A---- C:\WINDOWS\system32\hsduinst.exe
2010-11-12 11:33:46 ----A---- C:\WINDOWS\unin0419.exe
2010-11-11 19:31:11 ----D---- C:\Documents and Settings\All Users\Application Data\Symantec
2010-11-11 19:31:10 ----D---- C:\Program Files\ShadowStor
2010-11-11 15:48:02 ----HD---- C:\WINDOWS\system32\GroupPolicy
2010-11-11 13:51:38 ----A---- C:\WINDOWS\ntbtlog.txt
2010-11-11 13:38:12 ----A---- C:\WINDOWS\system32\h323log.txt
2010-11-11 13:35:13 ----D---- C:\Program Files\WinRAR
2010-11-11 13:30:50 ----D---- C:\_Программы
2010-11-11 13:30:12 ----D---- C:\_Terminal
2010-11-11 13:24:33 ----A---- C:\WINDOWS\system32\drivers\audstub.sys
2010-11-11 13:23:38 ----A---- C:\WINDOWS\system32\drivers\redbook.sys
2010-11-11 13:23:17 ----A---- C:\WINDOWS\system32\RTNUninst32.dll
2010-11-11 13:23:12 ----HD---- C:\Program Files\InstallShield Installation Information
2010-11-11 13:23:12 ----D---- C:\Program Files\Realtek
2010-11-11 13:22:44 ----A---- C:\WINDOWS\system32\drivers\RTL8139.sys
2010-11-11 13:22:13 ----A---- C:\WINDOWS\system32\usbui.dll
2010-11-11 13:20:40 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-11-11 13:20:39 ----SHD---- C:\WINDOWS\Installer
2010-11-11 13:20:38 ----D---- C:\Program Files\Common Files\ODBC
2010-11-11 13:20:38 ----A---- C:\WINDOWS\ODBCINST.INI
2010-11-11 13:20:36 ----D---- C:\Program Files\Common Files\SpeechEngines
2010-11-11 13:20:35 ----RD---- C:\Program Files
2010-11-11 13:20:35 ----D---- C:\Program Files\Common Files\Microsoft Shared
2010-11-11 13:20:35 ----D---- C:\Program Files\Common Files
2010-11-11 13:20:28 ----RA---- C:\WINDOWS\system32\kbdazel.dll
2010-11-11 13:20:27 ----RA---- C:\WINDOWS\system32\kbdlt1.dll
2010-11-11 13:20:27 ----RA---- C:\WINDOWS\system32\kbdhela3.dll
2010-11-11 13:20:25 ----RA---- C:\WINDOWS\system32\kbdycl.dll
2010-11-11 13:20:25 ----RA---- C:\WINDOWS\system32\kbdsl1.dll
2010-11-11 13:20:25 ----RA---- C:\WINDOWS\system32\kbdsl.dll
2010-11-11 13:20:25 ----RA---- C:\WINDOWS\system32\kbdpl1.dll
2010-11-11 13:20:25 ----RA---- C:\WINDOWS\system32\kbdpl.dll
2010-11-11 13:20:25 ----RA---- C:\WINDOWS\system32\kbdcz2.dll
2010-11-11 13:20:25 ----RA---- C:\WINDOWS\system32\kbdcz1.dll
2010-11-11 13:20:25 ----RA---- C:\WINDOWS\system32\kbdcz.dll
2010-11-11 13:20:25 ----RA---- C:\WINDOWS\system32\kbdcr.dll
2010-11-11 13:20:17 ----RA---- C:\WINDOWS\system32\kbdycc.dll
2010-11-11 13:20:17 ----RA---- C:\WINDOWS\system32\kbdur.dll
2010-11-11 13:20:17 ----RA---- C:\WINDOWS\system32\kbdbu.dll
2010-11-11 13:20:17 ----RA---- C:\WINDOWS\system32\kbdblr.dll
2010-11-11 13:20:17 ----RA---- C:\WINDOWS\system32\kbdaze.dll
2010-11-11 13:20:16 ----A---- C:\WINDOWS\system32\spxcoins.dll
2010-11-11 13:20:16 ----A---- C:\WINDOWS\system32\irclass.dll
2010-11-11 13:20:16 ----A---- C:\WINDOWS\system32\EqnClass.Dll
2010-11-11 13:20:16 ----A---- C:\WINDOWS\system32\dgsetup.dll
2010-11-11 13:20:16 ----A---- C:\WINDOWS\system32\dgrpsetu.dll
2010-11-11 13:20:14 ----A---- C:\WINDOWS\TASKMAN.EXE
2010-11-11 13:20:13 ----A---- C:\WINDOWS\system32\drivers\irenum.sys
2010-11-11 13:20:13 ----A---- C:\WINDOWS\system32\CONFIG.TMP
2010-11-11 13:20:13 ----A---- C:\WINDOWS\system32\batt.dll
2010-11-11 13:20:13 ----A---- C:\WINDOWS\NOTEPAD.EXE
2010-11-11 13:20:12 ----A---- C:\WINDOWS\system32\storprop.dll
2010-11-11 13:19:59 ----ASH---- C:\Documents and Settings\All Users\Application Data\desktop.ini
2010-11-11 13:19:51 ----RA---- C:\WINDOWS\SET8.tmp
2010-11-11 13:19:49 ----RA---- C:\WINDOWS\SET4.tmp
2010-11-11 13:19:48 ----RA---- C:\WINDOWS\SET3.tmp
2010-11-11 13:19:42 ----D---- C:\WINDOWS\system32\CatRoot2
2010-11-11 13:19:42 ----D---- C:\WINDOWS\system32\CatRoot
2010-11-11 13:19:37 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft
2010-11-11 13:19:12 ----A---- C:\WINDOWS\setuplog.txt
2010-11-11 13:19:10 ----D---- C:\Documents and Settings
2010-11-11 13:19:09 ----SHD---- C:\System Volume Information
2010-11-11 13:18:20 ----RASH---- C:\boot.ini
2010-11-11 13:15:01 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-11-11 13:15:01 ----RSD---- C:\WINDOWS\Fonts
2010-11-11 13:15:01 ----RD---- C:\WINDOWS\Web
2010-11-11 13:15:01 ----HD---- C:\WINDOWS\inf
2010-11-11 13:15:01 ----D---- C:\WINDOWS\WinSxS
2010-11-11 13:15:01 ----D---- C:\WINDOWS\twain_32
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\wins
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\wbem
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\usmt
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\spool
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\ShellExt
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\Setup
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\ras
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\oobe
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\npp
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\mui
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\inetsrv
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\IME
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\icsxml
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\ias
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\export
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\drivers\etc
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\drivers\disdn
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\drivers
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\dhcp
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\config
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\3com_dmi
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\3076
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\2052
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\1054
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\1049
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\1042
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\1041
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\1037
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\1033
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\1031
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\1028
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32\1025
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system32
2010-11-11 13:15:01 ----D---- C:\WINDOWS\system
2010-11-11 13:15:01 ----D---- C:\WINDOWS\security
2010-11-11 13:15:01 ----D---- C:\WINDOWS\Resources
2010-11-11 13:15:01 ----D---- C:\WINDOWS\repair
2010-11-11 13:15:01 ----D---- C:\WINDOWS\Provisioning
2010-11-11 13:15:01 ----D---- C:\WINDOWS\PeerNet
2010-11-11 13:15:01 ----D---- C:\WINDOWS\pchealth
2010-11-11 13:15:01 ----D---- C:\WINDOWS\NLDRV
2010-11-11 13:15:01 ----D---- C:\WINDOWS\mui
2010-11-11 13:15:01 ----D---- C:\WINDOWS\msapps
2010-11-11 13:15:01 ----D---- C:\WINDOWS\msagent
2010-11-11 13:15:01 ----D---- C:\WINDOWS\Media
2010-11-11 13:15:01 ----D---- C:\WINDOWS\java
2010-11-11 13:15:01 ----D---- C:\WINDOWS\ime
2010-11-11 13:15:01 ----D---- C:\WINDOWS\Help
2010-11-11 13:15:01 ----D---- C:\WINDOWS\ehome
2010-11-11 13:15:01 ----D---- C:\WINDOWS\Driver Cache
2010-11-11 13:15:01 ----D---- C:\WINDOWS\Debug
2010-11-11 13:15:01 ----D---- C:\WINDOWS\Cursors
2010-11-11 13:15:01 ----D---- C:\WINDOWS\Connection Wizard
2010-11-11 13:15:01 ----D---- C:\WINDOWS\Config
2010-11-11 13:15:01 ----D---- C:\WINDOWS\AppPatch
2010-11-11 13:15:01 ----D---- C:\WINDOWS\addins
2010-11-11 13:15:01 ----D---- C:\WINDOWS
2010-11-11 13:15:01 ----ASH---- C:\pagefile.sys
2010-11-11 12:54:00 ----D---- C:\WINDOWS\system32\ReinstallBackups
2010-11-11 12:50:52 ----A---- C:\WINDOWS\system32\RtNicProp32.dll
2010-11-11 12:50:52 ----A---- C:\WINDOWS\system32\drivers\Rtenicxp.sys
2010-11-11 12:41:31 ----D---- C:\WINDOWS\Drivers
2010-11-11 12:41:31 ----A---- C:\WINDOWS\system32\drivers\ousbehci.sys
2010-11-11 12:41:31 ----A---- C:\WINDOWS\system32\drivers\ousb2hub.sys
2010-11-11 12:23:27 ----A---- C:\WINDOWS\system32\drivers\USBSTOR.SYS
2010-11-11 12:02:30 ----D---- C:\Documents and Settings\Admin\Application Data\Identities
2010-11-11 12:02:28 ----HD---- C:\Program Files\Uninstall Information
2010-11-11 12:02:23 ----ASH---- C:\Documents and Settings\Admin\Application Data\desktop.ini
2010-11-11 12:02:22 ----SD---- C:\Documents and Settings\Admin\Application Data\Microsoft
2010-11-11 11:51:35 ----D---- C:\WINDOWS\SoftwareDistribution
2010-11-11 11:51:33 ----D---- C:\WINDOWS\Prefetch
2010-11-11 11:51:32 ----SD---- C:\WINDOWS\system32\Microsoft
2010-11-11 11:51:32 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-11-11 11:47:31 ----D---- C:\WINDOWS\system32\xircom
2010-11-11 11:47:31 ----D---- C:\Program Files\xerox
2010-11-11 11:47:31 ----D---- C:\Program Files\msn gaming zone
2010-11-11 11:47:31 ----D---- C:\Program Files\microsoft frontpage
2010-11-11 11:47:24 ----A---- C:\WINDOWS\system32\tzchange.exe
2010-11-11 11:47:20 ----HD---- C:\WINDOWS\$hf_mig$
2010-11-11 11:47:14 ----A---- C:\WINDOWS\system32\spmsg.dll
2010-11-11 11:46:55 ----RASH---- C:\MSDOS.SYS
2010-11-11 11:46:55 ----RASH---- C:\IO.SYS
2010-11-11 11:46:55 ----A---- C:\WINDOWS\control.ini
2010-11-11 11:46:55 ----A---- C:\CONFIG.SYS
2010-11-11 11:46:55 ----A---- C:\AUTOEXEC.BAT
2010-11-11 11:46:44 ----A---- C:\WINDOWS\OEWABLog.txt
2010-11-11 11:46:37 ----A---- C:\WINDOWS\system32\mapi32.dll
2010-11-11 11:45:55 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-11-11 11:45:55 ----RD---- C:\WINDOWS\Offline Web Pages
2010-11-11 11:45:55 ----RAH---- C:\WINDOWS\system32\logonui.exe.manifest
2010-11-11 11:45:52 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest
2010-11-11 11:45:48 ----HD---- C:\Program Files\WindowsUpdate
2010-11-11 11:45:40 ----D---- C:\Program Files\Online Services
2010-11-11 11:45:20 ----D---- C:\WINDOWS\system32\DirectX
2010-11-11 11:44:52 ----A---- C:\WINDOWS\system32\atrace.dll
2010-11-11 11:44:48 ----A---- C:\WINDOWS\system32\desktop.ini
2010-11-11 11:44:48 ----A---- C:\WINDOWS\desktop.ini
2010-11-11 11:44:40 ----A---- C:\WINDOWS\system32\nmevtmsg.dll
2010-11-11 11:44:39 ----A---- C:\WINDOWS\system32\acctres.dll
2010-11-11 11:44:38 ----D---- C:\Program Files\Common Files\Services
2010-11-11 11:44:34 ----SD---- C:\WINDOWS\Tasks
2010-11-11 11:44:34 ----A---- C:\WINDOWS\system32\icfgnt5.dll
2010-11-11 11:44:33 ----D---- C:\Program Files\Common Files\MSSoap
2010-11-11 11:44:28 ----D---- C:\WINDOWS\srchasst
2010-11-11 11:44:27 ----D---- C:\WINDOWS\system32\Macromed
2010-11-11 11:44:23 ----A---- C:\WINDOWS\system32\wuweb.dll
2010-11-11 11:44:23 ----A---- C:\WINDOWS\system32\wucltui.dll
2010-11-11 11:44:23 ----A---- C:\WINDOWS\system32\wuauserv.dll
2010-11-11 11:44:23 ----A---- C:\WINDOWS\system32\wuaueng1.dll
2010-11-11 11:44:22 ----A---- C:\WINDOWS\system32\wups.dll
2010-11-11 11:44:22 ----A---- C:\WINDOWS\system32\wuaueng.dll
2010-11-11 11:44:22 ----A---- C:\WINDOWS\system32\wuauclt1.exe
2010-11-11 11:44:22 ----A---- C:\WINDOWS\system32\wuauclt.exe
2010-11-11 11:44:22 ----A---- C:\WINDOWS\system32\wuapi.dll
2010-11-11 11:44:21 ----A---- C:\WINDOWS\system32\qmgrprxy.dll
2010-11-11 11:44:21 ----A---- C:\WINDOWS\system32\qmgr.dll
2010-11-11 11:44:21 ----A---- C:\WINDOWS\system32\bitsprx3.dll
2010-11-11 11:44:21 ----A---- C:\WINDOWS\system32\bitsprx2.dll
2010-11-11 11:44:16 ----D---- C:\Program Files\Movie Maker
2010-11-11 11:44:11 ----A---- C:\WINDOWS\system32\safrslv.dll
2010-11-11 11:44:11 ----A---- C:\WINDOWS\system32\safrdm.dll
2010-11-11 11:44:11 ----A---- C:\WINDOWS\system32\safrcdlg.dll
2010-11-11 11:44:10 ----A---- C:\WINDOWS\system32\racpldlg.dll
2010-11-11 11:44:05 ----A---- C:\WINDOWS\system32\fltMc.exe
2010-11-11 11:44:05 ----A---- C:\WINDOWS\system32\fltlib.dll
2010-11-11 11:44:05 ----A---- C:\WINDOWS\system32\drivers\fltMgr.sys
2010-11-11 11:44:04 ----D---- C:\WINDOWS\system32\Restore
2010-11-11 11:44:04 ----A---- C:\WINDOWS\system32\srsvc.dll
2010-11-11 11:44:04 ----A---- C:\WINDOWS\system32\srrstr.dll
2010-11-11 11:44:04 ----A---- C:\WINDOWS\system32\srclient.dll
2010-11-11 11:44:04 ----A---- C:\WINDOWS\system32\drivers\sr.sys
2010-11-11 11:44:03 ----A---- C:\WINDOWS\system32\mnmdd.dll
2010-11-11 11:44:03 ----A---- C:\WINDOWS\system32\isrdbg32.dll
2010-11-11 11:44:03 ----A---- C:\WINDOWS\system32\ils.dll
2010-11-11 11:44:02 ----A---- C:\WINDOWS\system32\nmmkcert.dll
2010-11-11 11:44:02 ----A---- C:\WINDOWS\system32\msconf.dll
2010-11-11 11:44:02 ----A---- C:\WINDOWS\system32\mnmsrvc.exe
2010-11-11 11:43:59 ----D---- C:\Program Files\NetMeeting
2010-11-11 11:43:58 ----A---- C:\WINDOWS\system32\msoert2.dll
2010-11-11 11:43:58 ----A---- C:\WINDOWS\system32\msoeacct.dll
2010-11-11 11:43:57 ----A---- C:\WINDOWS\system32\inetres.dll
2010-11-11 11:43:56 ----A---- C:\WINDOWS\system32\inetcomm.dll
2010-11-11 11:43:53 ----D---- C:\Program Files\Outlook Express
2010-11-11 11:43:53 ----A---- C:\WINDOWS\system32\schedsvc.dll
2010-11-11 11:43:53 ----A---- C:\WINDOWS\system32\mstinit.exe
2010-11-11 11:43:53 ----A---- C:\WINDOWS\system32\mstask.dll
2010-11-11 11:43:52 ----A---- C:\WINDOWS\system32\isign32.dll
2010-11-11 11:43:52 ----A---- C:\WINDOWS\system32\inetcfg.dll
2010-11-11 11:43:52 ----A---- C:\WINDOWS\system32\icwphbk.dll
2010-11-11 11:43:52 ----A---- C:\WINDOWS\system32\icwdial.dll
2010-11-11 11:43:44 ----D---- C:\Program Files\Common Files\System
2010-11-11 11:43:43 ----D---- C:\Program Files\Internet Explorer
2010-11-11 11:42:58 ----D---- C:\Program Files\ComPlus Applications
2010-11-11 11:42:54 ----A---- C:\WINDOWS\vbaddin.ini
2010-11-11 11:42:54 ----A---- C:\WINDOWS\vb.ini
2010-11-11 11:42:45 ----D---- C:\WINDOWS\Registration
2010-11-11 11:42:30 ----D---- C:\Program Files\Windows Media Player
2010-11-11 11:42:20 ----D---- C:\Program Files\Messenger
2010-11-11 11:42:20 ----A---- C:\WINDOWS\system32\write.exe
2010-11-11 11:42:13 ----A---- C:\WINDOWS\system32\sndvol32.exe
2010-11-11 11:42:13 ----A---- C:\WINDOWS\system32\hticons.dll
2010-11-11 11:42:13 ----A---- C:\WINDOWS\system32\avwav.dll
2010-11-11 11:42:12 ----A---- C:\WINDOWS\system32\winchat.exe
2010-11-11 11:42:12 ----A---- C:\WINDOWS\system32\avtapi.dll
2010-11-11 11:42:12 ----A---- C:\WINDOWS\system32\avmeter.dll
2010-11-11 11:42:03 ----A---- C:\WINDOWS\system32\getuname.dll
2010-11-11 11:42:03 ----A---- C:\WINDOWS\system32\charmap.exe
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\usrlogon.cmd
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\tsshutdn.exe
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\tslabels.ini
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\tskill.exe
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\tsdiscon.exe
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\tscon.exe
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\shadow.exe
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\rwinsta.exe
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\reset.exe
2010-11-11 11:42:02 ----A---- C:\WINDOWS\system32\calc.exe
2010-11-11 11:42:01 ----A---- C:\WINDOWS\system32\regini.exe
2010-11-11 11:42:01 ----A---- C:\WINDOWS\system32\rdpcfgex.dll
2010-11-11 11:42:01 ----A---- C:\WINDOWS\system32\qwinsta.exe
2010-11-11 11:42:01 ----A---- C:\WINDOWS\system32\qappsrv.exe
2010-11-11 11:42:01 ----A---- C:\WINDOWS\system32\msg.exe
2010-11-11 11:42:01 ----A---- C:\WINDOWS\system32\logoff.exe
2010-11-11 11:42:01 ----A---- C:\WINDOWS\system32\cdmodem.dll
2010-11-11 11:42:00 ----A---- C:\WINDOWS\system32\msdtcprf.ini
2010-11-11 11:42:00 ----A---- C:\WINDOWS\system32\dcomcnfg.exe
2010-11-11 11:41:59 ----A---- C:\WINDOWS\system32\stclient.dll
2010-11-11 11:41:59 ----A---- C:\WINDOWS\system32\mtxlegih.dll
2010-11-11 11:41:59 ----A---- C:\WINDOWS\system32\mtxex.dll
2010-11-11 11:41:59 ----A---- C:\WINDOWS\system32\mtxdm.dll
2010-11-11 11:41:59 ----A---- C:\WINDOWS\system32\comsnap.dll
2010-11-11 11:41:59 ----A---- C:\WINDOWS\system32\comrepl.dll
2010-11-11 11:41:59 ----A---- C:\WINDOWS\system32\comaddin.dll
2010-11-11 11:41:53 ----A---- C:\WINDOWS\system32\wmimgmt.msc
2010-11-11 11:41:52 ----A---- C:\WINDOWS\system32\accwiz.exe
2010-11-11 11:41:51 ----A---- C:\WINDOWS\system32\sndrec32.exe
2010-11-11 11:41:51 ----A---- C:\WINDOWS\system32\mplay32.exe
2010-11-11 11:41:51 ----A---- C:\WINDOWS\system32\hypertrm.dll
2010-11-11 11:41:50 ----D---- C:\Program Files\Windows NT
2010-11-11 11:41:50 ----A---- C:\WINDOWS\system32\mspaint.exe
2010-11-11 11:41:50 ----A---- C:\WINDOWS\system32\clipbrd.exe
2010-11-11 11:41:49 ----A---- C:\WINDOWS\system32\tscfgwmi.dll
2010-11-11 11:41:49 ----A---- C:\WINDOWS\system32\drivers\tdtcp.sys
2010-11-11 11:41:49 ----A---- C:\WINDOWS\system32\drivers\tdpipe.sys
2010-11-11 11:41:49 ----A---- C:\WINDOWS\system32\drivers\rdpwd.sys
2010-11-11 11:41:48 ----A---- C:\WINDOWS\system32\tscupgrd.exe
2010-11-11 11:41:48 ----A---- C:\WINDOWS\system32\sessmgr.exe
2010-11-11 11:41:48 ----A---- C:\WINDOWS\system32\remotepg.dll
2010-11-11 11:41:48 ----A---- C:\WINDOWS\system32\rdshost.exe
2010-11-11 11:41:48 ----A---- C:\WINDOWS\system32\rdsaddin.exe
2010-11-11 11:41:48 ----A---- C:\WINDOWS\system32\rdchost.dll
2010-11-11 11:41:48 ----A---- C:\WINDOWS\system32\mstscax.dll
2010-11-11 11:41:48 ----A---- C:\WINDOWS\system32\mstsc.exe
2010-11-11 11:41:47 ----A---- C:\WINDOWS\system32\termsrv_bak.dll
2010-11-11 11:41:47 ----A---- C:\WINDOWS\system32\termsrv.dll
2010-11-11 11:41:47 ----A---- C:\WINDOWS\system32\rdpwsx.dll
2010-11-11 11:41:47 ----A---- C:\WINDOWS\system32\rdpsnd.dll
2010-11-11 11:41:47 ----A---- C:\WINDOWS\system32\rdpclip.exe
2010-11-11 11:41:47 ----A---- C:\WINDOWS\system32\qprocess.exe
2010-11-11 11:41:47 ----A---- C:\WINDOWS\system32\icaapi.dll
2010-11-11 11:41:47 ----A---- C:\WINDOWS\system32\cfgbkend.dll
2010-11-11 11:41:46 ----D---- C:\WINDOWS\system32\MsDtc
2010-11-11 11:41:46 ----A---- C:\WINDOWS\system32\mtxoci.dll
2010-11-11 11:41:46 ----A---- C:\WINDOWS\system32\msdtcuiu.dll
2010-11-11 11:41:46 ----A---- C:\WINDOWS\system32\msdtcprx.dll
2010-11-11 11:41:45 ----A---- C:\WINDOWS\system32\xolehlp.dll
2010-11-11 11:41:45 ----A---- C:\WINDOWS\system32\msdtctm.dll
2010-11-11 11:41:45 ----A---- C:\WINDOWS\system32\msdtclog.dll
2010-11-11 11:41:45 ----A---- C:\WINDOWS\system32\msdtc.exe
2010-11-11 11:41:44 ----D---- C:\WINDOWS\system32\Com
2010-11-11 11:41:44 ----A---- C:\WINDOWS\system32\colbact.dll
2010-11-11 11:41:44 ----A---- C:\WINDOWS\system32\catsrvps.dll
2010-11-11 11:41:43 ----A---- C:\WINDOWS\system32\clbcatex.dll
2010-11-11 11:41:43 ----A---- C:\WINDOWS\system32\catsrvut.dll
2010-11-11 11:41:43 ----A---- C:\WINDOWS\system32\catsrv.dll
2010-11-11 11:41:42 ----A---- C:\WINDOWS\system32\comuid.dll
2010-11-11 11:41:42 ----A---- C:\WINDOWS\system32\comsvcs.dll
2010-11-11 11:41:41 ----A---- C:\WINDOWS\system32\clbcatq.dll
2010-11-11 11:41:34 ----A---- C:\WINDOWS\system32\servdeps.dll
2010-11-11 11:41:34 ----A---- C:\WINDOWS\system32\mmfutil.dll
2010-11-11 11:41:34 ----A---- C:\WINDOWS\system32\licwmi.dll
2010-11-11 11:41:33 ----A---- C:\WINDOWS\system32\cmprops.dll
2010-11-11 11:41:30 ----A---- C:\WINDOWS\system32\drivers\termdd.sys
2010-11-11 11:41:30 ----A---- C:\WINDOWS\system32\drivers\rdpdr.sys
2010-11-10 23:50:18 ----A---- C:\WINDOWS\system32\sfcfiles.dll
2010-11-10 23:50:06 ----A---- C:\WINDOWS\system32\drivers\si3132.sys
2010-11-10 23:50:04 ----A---- C:\WINDOWS\system32\SilSupp.dll
2010-11-10 23:50:04 ----A---- C:\WINDOWS\system32\drivers\SiWinAcc.sys
2010-11-10 23:50:04 ----A---- C:\WINDOWS\system32\drivers\SiRemFil.sys
2010-11-10 23:50:02 ----A---- C:\WINDOWS\system32\drivers\Si3132r5.sys
2010-11-10 23:50:00 ----A---- C:\WINDOWS\system32\syssetup.dll
======List of files/folders modified in the last 3 months======
2010-11-14 12:11:12 ----A---- C:\WINDOWS\system.ini
2010-11-11 11:46:55 ----A---- C:\WINDOWS\win.ini
2010-11-11 11:46:26 ----ASH---- C:\WINDOWS\fonts\desktop.ini
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\wzcsvc.dll
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\wzcsapi.dll
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\pjlmon.dll
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\pid.dll
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\ntkrnlpa.exe
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\msyuv.dll
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\iyuv_32.dll
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\hid.dll
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\dmutil.dll
2010-11-10 23:35:06 ----A---- C:\WINDOWS\system32\cnbjmon.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\wowfaxui.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\wowfax.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrvpa.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrvoica.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrv80a.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrv42a.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrsvpia.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrshuta.exe
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrsdpia.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrrtosa.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrprbda.exe
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrmlnka.exe
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrlbva.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrfaxa.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrdtea.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrdpa.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrcoina.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\usrcntra.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\tsbyuv.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\streamci.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\sprio800.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\sprio600.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\spnike.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\paqsp.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\mdwmdmsp.dll
2010-11-10 23:30:34 ----A---- C:\WINDOWS\system32\dvdplay.exe
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R0 Shadow;Shadow; C:\WINDOWS\system32\drivers\Shadow.sys [2005-01-25 114624]
R0 Si3132;Si3132; C:\WINDOWS\system32\drivers\Si3132.sys [2010-11-10 80424]
R0 Si3132r5;SiI-3132 SoftRaid 5 Controller; C:\WINDOWS\system32\DRIVERS\Si3132r5.sys [2010-11-10 217128]
R0 SiFilter;SATALink driver accelerator; C:\WINDOWS\system32\DRIVERS\SiWinAcc.sys [2010-11-10 17064]
R0 SiRemFil;SATALink External Device Filter; C:\WINDOWS\system32\DRIVERS\SiRemFil.sys [2010-11-10 12200]
R1 intelppm;Драйвер Intel процессора; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-18 40448]
R1 uzq0nze3;AVZ-RK Kernel Driver; \??\C:\WINDOWS\system32\Drivers\uzq0nze3.sys []
R3 hidusb;Драйвер класса HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2004-08-18 9600]
R3 mouhid;Драйвер мыши HID; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2010-11-10 12160]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet адаптер, драйвер для NT; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2010-07-06 234392]
R3 USBSTOR;Драйвер запоминающих устройств для USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 catchme;catchme; \??\C:\DOCUME~1\Admin\LOCALS~1\Temp\catchme.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 HASP Loader;HASP Loader; C:\WINDOWS\system32\nhsrvice.exe [2003-05-01 225280]
-----------------EOF-----------------
kservice
14-11-2010, 16:01
Логи AVZ
Антивирус не удается установить даже в безопасном режиме
Не работает удаленный вызов процедур (RPC), не віполняются команді по включению служб
Прикрепите лог ComboFix (C:\ComboFix.txt)
Какой антивирус пытаетесь установить? И какую ошибку выдаёт?
По логам вижу у вас ESET NOD32 Antivirus 4.2
kservice
14-11-2010, 20:10
Не знаю, откуда взялся Node, но пытался ставить Avast. При запуске сообщение о неправильной настройке, службы (не только Avast) не включаются и не перезапускаются (стоят в ручном запуске)
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::
File::
Driver::
scnok
xvlhpdic
NetSvc::
xvlhpdic
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4839:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
kservice
14-11-2010, 21:37
Я вам очень благодарен за попытки помочь и очень жду ваших советов, но хотелось бы, чтобы все-таки более внимательно читали мои сообщения. Иначе толку мало.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. »
Посоветуйте, как это сделать? Нет возможности копировать и сохранять. Я это делаю так:
с компа, подключенного к интернету, переношу на флешку, подключаю к серверу, а сервер предварительно перезагружаю с помощью Mini-LiveCD, копирую информацию с флешки , опять загружаю WIN. Предложите другие варианты?
Drag&Drop тоже не работает, как перетянуть скрипт?
Далее. После выполнения скрипта должен запускаться МВАМ? Сейчас он не запускается!
Как обновить базы, если сервер не только не имеет выхода в интернет (как и остальные компьютеры сети), но даже существовавшее соединение по локалке и то не работает?
Мне кажется, что если запустить МВАМ, то проблема будет решена. Аналогичная ситуация с ошибкой 372 у МВАМ у многих, но готового решения я не нашел
как перетянуть скрипт? »
Прикрепил файл CFScript.txt
Переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
kservice
15-11-2010, 08:00
Мышкой он не перетаскивается! Может как-то иначе можно убить этот ключ? В реестре (вручную) не нашел
kservice
15-11-2010, 12:32
Я так понимаю, что у хелперов работы немеренно. Поэтому есть предложение к администрации: создать что-то наподобие очереди. Создал тему и видишь (или до этого), что ты 100-й и подойдет твоя очередь примерно через 3 дня. Понимаешь, что лучше не ждать, не тратить время, а заняться переустановкой. Но если уж очередь подошла, то тобой занимаются плотно и за сутки из тебя и из вируса выжмут все соки. А пока очереди нет, то просто спрашиваю: ждать своего часа? Есть перспективы решения вопроса или же не тратить время и начинать все с нуля. Есть только одно "но". Не выяснив где и чем заразился и как с этим бороться, рискуешь налететь на повторение ситуации, а такого мне могут и не простить. Все-таки компьютер в большинстве случаев необходимость, орудие труда, а не роскошь.
PS Вспомнилось нечто, на мой взгляд важное. Так думать заставили поиски по интернету. Точно утверждать не могу, но мне кажется, что вирус проявил себя после удаления с флешки файлов autorun.inf и klade.exe. Вроде бы для правильного удаления необходимо было выполнить определенный ритуал.
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием приостановить их работу (http://virusnet.info/forum/showthread.php?t=10608)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
kservice
15-11-2010, 15:24
Извините, быстро не получилось. Первый раз запустил с флешки, но засомневался в правильности. Это лог для gmer, запущенного с рабочго стола.
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-11-15 14:22:34
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Scsi\Si3132r51Port6Path0Target10Lun0 SiImage_ rev.0000
Running: g__r.exe; Driver: C:\DOCUME~1\Admin\LOCALS~1\Temp\uftdypob.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwClose [0xBA118CF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateKey [0xBA118BAC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteKey [0xBA119160]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteValueKey [0xBA11908A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDuplicateObject [0xBA118782]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenKey [0xBA118C86]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenProcess [0xBA1186C2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenThread [0xBA118726]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwQueryValueKey [0xBA118DA6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRenameKey [0xBA11922E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRestoreKey [0xBA118D66]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwSetValueKey [0xBA118EE6]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice \FileSystem\Ntfs \Ntfs Shadow.sys (ShadowUser/StorageCraft, Inc.)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 Shadow.sys (ShadowUser/StorageCraft, Inc.)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 Shadow.sys (ShadowUser/StorageCraft, Inc.)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 Shadow.sys (ShadowUser/StorageCraft, Inc.)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 Shadow.sys (ShadowUser/StorageCraft, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?3?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?3?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
---- EOF - GMER 1.0.15 ----
Скачайте Avenger by Swandog46 (http://swandog46.geekstogo.com/avenger2/download.php) и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта
Drivers to disable:
scnok
xvlhpdic
Drivers to delete:
scnok
xvlhpdic
Files to delete:
Folders to delete:
Registry values to delete:
Registry keys to delete:
Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.
Нажмите Execute и подтвердите, нажав Yes
Avenger автоматически выполнит следующее:
* Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
* При перезагрузке кратковременно появится черное окно, это нормально
* После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
* Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.
Скопируйте и вставьте содержимое файла c:\avenger.txt в следующее сообщение.
После этого повторите лог ComboFix
kservice
15-11-2010, 17:06
Операции копирования и вставки заблокированы. Есть другой вариант выполнения скрипта?
kservice
15-11-2010, 17:31
Это я с испугу. Там есть возможность вставки из файла.
Указанные файлы он не нашел (специально я их не удалял).
Вот лог
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not open driver "scnok"
Disablement of driver "scnok" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: could not open driver "xvlhpdic"
Disablement of driver "xvlhpdic" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\scnok" not found!
Deletion of driver "scnok" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\xvlhpdic" not found!
Deletion of driver "xvlhpdic" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
CobmoFix при запуске все время предлагает установить консоль восстановления, но, поскольку нет соединения с интернетом, я ему отказываю. Следует предупреждение, что он не сможет зафиксировать инфекции. Консоль вчера я установил вручную и при запуске Win она на экране есть.
Вот его лог (заметил проблемы с криптографией)
ComboFix 10-11-14.02 - Admin 15.11.2010 16:18:23.5.4 - x86
Running from: h:\__анти 151110\ComboFix.exe
.
((((((((((((((((((((((((( Files Created from 2010-10-15 to 2010-11-15 )))))))))))))))))))))))))))))))
.
2010-11-14 17:41 . 2003-07-09 17:33 79872 ----a-w- c:\temp\aawhelper.dll
2010-11-14 17:41 . 2010-11-14 17:45 -------- d-----w- C:\Temp
2010-11-14 17:41 . 2003-07-12 20:00 684544 ----a-w- c:\temp\Ad-aware.exe
2010-11-14 12:34 . 2010-11-14 12:34 -------- d-----w- C:\rsit
2010-11-14 11:09 . 2010-11-14 11:10 -------- d-----w- C:\ERDNT
2010-11-14 11:09 . 2010-11-14 11:09 -------- d-----w- C:\Refistry backup_141110
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-10 21:35 . 2007-02-28 18:08 2019328 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-11-10 21:35 . 2004-08-17 14:05 23552 ----a-w- c:\windows\system32\wdmaud.drv
2010-11-10 21:35 . 2004-08-17 14:04 51712 ----a-w- c:\windows\system32\wzcsapi.dll
2010-11-10 21:35 . 2004-08-17 14:04 359936 ----a-w- c:\windows\system32\wzcsvc.dll
2010-11-10 21:35 . 2004-08-17 14:04 35328 ----a-w- c:\windows\system32\pid.dll
2010-11-10 21:35 . 2004-08-17 14:04 15360 ----a-w- c:\windows\system32\pjlmon.dll
2010-11-10 21:35 . 2004-08-17 14:04 17408 ----a-w- c:\windows\system32\msyuv.dll
2010-11-10 21:35 . 2004-08-17 14:04 47616 ----a-w- c:\windows\system32\iyuv_32.dll
2010-11-10 21:35 . 2004-08-17 14:04 20992 ----a-w- c:\windows\system32\hid.dll
2010-11-10 21:35 . 2004-08-17 14:04 53760 ----a-w- c:\windows\system32\dmutil.dll
2010-11-10 21:35 . 2004-08-17 14:04 48128 ----a-w- c:\windows\system32\cnbjmon.dll
2010-11-10 21:35 . 2004-08-17 13:53 40832 ----a-w- c:\windows\system32\drivers\crusoe.sys
2010-11-10 21:35 . 2004-08-17 13:48 39680 ----a-w- c:\windows\system32\drivers\processr.sys
2010-11-10 21:35 . 2004-08-17 13:47 41728 ----a-w- c:\windows\system32\drivers\amdk7.sys
2010-11-10 21:35 . 2004-08-17 13:47 41344 ----a-w- c:\windows\system32\drivers\amdk6.sys
2010-11-10 21:35 . 2004-08-17 13:47 23296 ----a-w- c:\windows\system32\drivers\mouclass.sys
2010-11-10 21:35 . 2004-08-17 13:47 30208 ----a-w- c:\windows\system32\drivers\modem.sys
2010-11-10 21:35 . 2004-08-17 13:46 80128 ----a-w- c:\windows\system32\drivers\parport.sys
2010-11-10 21:35 . 2004-08-17 13:46 46848 ----a-w- c:\windows\system32\drivers\p3.sys
2010-11-10 21:35 . 2004-08-03 21:15 140928 ----a-w- c:\windows\system32\drivers\ks.sys
2010-11-10 21:35 . 2004-08-03 21:09 25472 ----a-w- c:\windows\system32\drivers\sonydcam.sys
2010-11-10 21:35 . 2004-08-03 21:08 16000 ----a-w- c:\windows\system32\drivers\usbintel.sys
2010-11-10 21:35 . 2004-08-03 21:08 48640 ----a-w- c:\windows\system32\drivers\stream.sys
2010-11-10 21:35 . 2004-08-03 21:07 15488 ----a-w- c:\windows\system32\drivers\mssmbios.sys
2010-11-10 21:35 . 2004-08-03 21:07 63744 ----a-w- c:\windows\system32\drivers\mf.sys
2010-11-10 21:35 . 2004-08-03 21:03 12416 ----a-w- c:\windows\system32\drivers\tunmp.sys
2010-11-10 21:35 . 2004-08-03 21:03 12928 ----a-w- c:\windows\system32\drivers\ndisuio.sys
2010-11-10 21:35 . 2004-08-03 20:58 4352 ----a-w- c:\windows\system32\drivers\swenum.sys
2010-11-10 21:35 . 2004-08-03 20:58 61824 ----a-w- c:\windows\system32\drivers\nic1394.sys
2010-11-10 21:35 . 2004-08-03 20:58 60800 ----a-w- c:\windows\system32\drivers\arp1394.sys
2010-11-10 21:30 . 2001-10-19 19:06 77891 ----a-w- c:\windows\system32\usrmlnka.exe
2010-11-10 21:30 . 2001-10-19 19:06 69700 ----a-w- c:\windows\system32\usrshuta.exe
2010-11-10 21:30 . 2001-10-19 19:06 56832 ----a-w- c:\windows\system32\dvdplay.exe
2010-11-10 21:30 . 2001-10-19 19:06 14336 ----a-w- c:\windows\system32\wowfaxui.dll
2010-11-10 21:30 . 2001-10-19 19:06 86073 ----a-w- c:\windows\system32\usrfaxa.dll
2010-11-10 21:30 . 2001-10-19 19:06 8192 ----a-w- c:\windows\system32\tsbyuv.dll
2010-11-10 21:30 . 2001-10-19 19:06 8192 ----a-w- c:\windows\system32\streamci.dll
2010-11-10 21:30 . 2001-10-19 19:06 77890 ----a-w- c:\windows\system32\usrdpa.dll
2010-11-10 21:30 . 2001-10-19 19:06 77883 ----a-w- c:\windows\system32\usrrtosa.dll
2010-11-10 21:30 . 2001-10-19 19:06 72192 ----a-w- c:\windows\system32\sprio800.dll
2010-11-10 21:30 . 2001-10-19 19:06 70656 ----a-w- c:\windows\system32\sprio600.dll
2010-11-10 21:30 . 2001-10-19 19:06 69699 ----a-w- c:\windows\system32\usrcoina.dll
2010-11-10 21:30 . 2001-10-19 19:06 69632 ----a-w- c:\windows\system32\spnike.dll
2010-11-10 21:30 . 2001-10-19 19:06 61500 ----a-w- c:\windows\system32\usrcntra.dll
2010-11-10 21:30 . 2001-10-19 19:06 53305 ----a-w- c:\windows\system32\usrlbva.dll
2010-11-10 21:30 . 2001-10-19 19:06 49211 ----a-w- c:\windows\system32\usrvpa.dll
2010-11-10 21:30 . 2001-10-19 19:06 49211 ----a-w- c:\windows\system32\usrsdpia.dll
2010-11-10 21:30 . 2001-10-19 19:06 49209 ----a-w- c:\windows\system32\usrv80a.dll
2010-11-10 21:30 . 2001-10-19 19:06 45116 ----a-w- c:\windows\system32\usrvoica.dll
2010-11-10 21:30 . 2001-10-19 19:06 41019 ----a-w- c:\windows\system32\usrsvpia.dll
2010-11-10 21:30 . 2001-10-19 19:06 323641 ----a-w- c:\windows\system32\usrdtea.dll
2010-11-10 21:30 . 2001-10-19 19:06 102457 ----a-w- c:\windows\system32\usrv42a.dll
2010-11-10 21:30 . 2001-10-19 19:06 157696 ----a-w- c:\windows\system32\paqsp.dll
2010-11-10 21:30 . 2001-10-19 19:06 147968 ----a-w- c:\windows\system32\mdwmdmsp.dll
2010-11-10 21:30 . 2001-10-19 19:05 3200 ----a-w- c:\windows\system32\wowfax.dll
2010-11-10 21:30 . 2001-10-19 18:35 12160 ----a-w- c:\windows\system32\drivers\fsvga.sys
2010-11-10 21:30 . 2001-10-19 18:33 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-11-10 21:30 . 2001-10-19 18:31 262528 ----a-w- c:\windows\system32\drivers\cinemst2.sys
2010-11-10 21:30 . 2001-08-18 04:37 61508 ----a-w- c:\windows\system32\usrprbda.exe
2010-11-10 21:30 . 2001-08-17 20:06 21376 ----a-w- c:\windows\system32\drivers\tsbvcap.sys
2010-11-10 21:30 . 2001-08-17 20:03 23936 ----a-w- c:\windows\system32\drivers\usbcamd2.sys
2010-11-10 21:30 . 2001-08-17 20:03 23808 ----a-w- c:\windows\system32\drivers\usbcamd.sys
2010-11-10 21:30 . 2001-08-17 20:02 58112 ----a-w- c:\windows\system32\drivers\vdmindvd.sys
2010-11-10 21:30 . 2001-08-17 20:01 51712 ----a-w- c:\windows\system32\drivers\tosdvd.sys
2010-11-10 21:30 . 2001-08-17 19:52 18688 ----a-w- c:\windows\system32\drivers\cdaudio.sys
2010-11-10 21:30 . 2001-08-17 19:24 12032 ----a-w- c:\windows\system32\drivers\riodrv.sys
2010-11-10 21:30 . 2001-08-17 19:24 12032 ----a-w- c:\windows\system32\drivers\rio8drv.sys
2010-11-10 21:30 . 2001-08-17 19:24 12032 ----a-w- c:\windows\system32\drivers\nikedrv.sys
2010-11-10 21:30 . 2001-08-17 19:24 11776 ----a-w- c:\windows\system32\drivers\cpqdap01.sys
.
------- Sigcheck -------
Cryptography Services Error !!
.
((((((((((((((((((((((((((((( SnapShot@2010-11-14_09.47.07 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-18 11:00 . 2004-08-18 11:00 12288 c:\windows\system32\regsvr32_old.exe
- 2004-08-18 11:00 . 2004-08-18 11:00 12288 c:\windows\system32\regsvr32.exe
+ 2004-08-18 11:00 . 2008-04-15 14:00 12288 c:\windows\system32\regsvr32.exe
+ 2010-11-11 11:19 . 2010-11-14 17:58 87112 c:\windows\system32\FNTCACHE.DAT
+ 2010-11-14 12:23 . 2010-11-14 12:23 11264 c:\windows\system32\drivers\uzq0nze3.sys
+ 2004-08-18 11:00 . 2004-08-03 19:08 57600 c:\windows\system32\drivers\usbhub.sys
- 2004-08-18 11:00 . 2004-08-18 11:00 57600 c:\windows\system32\drivers\usbhub.sys
+ 2010-11-14 15:27 . 2010-04-29 13:39 38224 c:\windows\system32\drivers\mbamswissarmy.sys
- 2010-11-14 07:03 . 2010-04-29 13:39 38224 c:\windows\system32\drivers\mbamswissarmy.sys
- 2010-11-14 07:02 . 2010-04-29 13:39 20952 c:\windows\system32\drivers\mbam.sys
+ 2010-11-14 15:27 . 2010-04-29 13:39 20952 c:\windows\system32\drivers\mbam.sys
+ 2010-11-14 13:47 . 2010-09-07 15:52 46672 c:\windows\system32\drivers\aswTdi.sys
+ 2010-11-14 13:47 . 2010-09-07 15:47 23376 c:\windows\system32\drivers\aswRdr.sys
+ 2010-11-14 13:47 . 2010-09-07 15:47 94544 c:\windows\system32\drivers\aswmon.sys
+ 2010-11-14 13:48 . 2010-09-07 15:47 17744 c:\windows\system32\drivers\aswFsBlk.sys
+ 2010-11-14 13:47 . 2010-09-07 15:46 28880 c:\windows\system32\drivers\aavmker4.sys
+ 2010-11-14 13:47 . 2010-09-07 16:12 38848 c:\windows\avastSS.scr
+ 2010-11-14 13:48 . 2010-09-07 15:52 165584 c:\windows\system32\drivers\aswSP.sys
+ 2010-11-14 13:47 . 2010-09-07 15:47 100176 c:\windows\system32\drivers\aswmon2.sys
+ 2010-11-14 13:47 . 2010-09-07 16:11 167592 c:\windows\system32\aswBoot.exe
+ 2004-08-18 11:00 . 2004-02-23 18:42 1386496 c:\windows\system32\MSVBVM60.DLL
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sdasetup_Spyware Doctor"="c:\documents and settings\Admin\Рабочий стол\sdasetup_Spyware Doctor.exe" [2010-11-15 507400]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuNotification"="c:\program files\ShadowStor\ShadowUser\suatshut.exe" [2005-01-12 40960]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sunotify]
2005-01-12 21:49 90112 ----a-w- c:\windows\system32\sunotify.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr_old.exe"= %windir%\\system32\\sessmgr.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"4839:TCP"= 4839:TCP:scnok
S0 Shadow;Shadow; [x]
S1 aswSP;aswSP; [x]
S1 uzq0nze3;AVZ-RK Kernel Driver;c:\windows\system32\Drivers\uzq0nze3.sys [2010-11-14 11264]
S2 aswFsBlk;aswFsBlk; [x]
S2 HASP Loader;HASP Loader;c:\windows\system32\nhsrvice.exe [2003-05-01 225280]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
xvlhpdic
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-15 16:19
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2010-11-15 16:19:31
ComboFix-quarantined-files.txt 2010-11-15 14:19
ComboFix2.txt 2010-11-15 12:43
ComboFix3.txt 2010-11-14 10:11
ComboFix4.txt 2010-11-14 09:53
ComboFix5.txt 2010-11-15 14:17
Pre-Run: 22*522*851*328 байт свободно
Post-Run: 22*520*549*376 байт свободно
- - End Of File - - BEDC74BE658C7AA065A2B1FC2017C23C
Не работает удаленный вызов процедур (RPC), не віполняются команді по включению служб »
Поподробнее, какую ошибку выдаёт при запуске?Из-за RPC не работает служба криптографии и еще немалое количество служб.
kservice
15-11-2010, 18:30
Paint, например, пишет "Сервер RPC недоступен"
Сама служба "Удаленный вызов процедур (RPC)" находится в режиме Авто. При попытке запуска ошибка 5: "Отказано в доступе"
Для восстановления службы, попробуем применить твик реестра.
Файл прикрепил.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.