|
Сбой по крайней мере в одной службе или драйвере при запуске системы
уже 2-3 месяца при включении сервера выдает сообщение "Сбой по крайней мере в одной службе или драйвере при запуске системы". В журнале следующие ошибки:
Тип события: Ошибка Источник события: Service Control Manager Категория события: Отсутствует Код события: 7023 Дата: 14.03.2011 Время: 7:52:27 Пользователь: Н/Д Компьютер: SERVER Описание: Служба "Support Boot" завершена из-за ошибки Не найден указанный модуль. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". Тип события: Ошибка Источник события: Service Control Manager Категория события: Отсутствует Код события: 7026 Дата: 14.03.2011 Время: 7:52:27 Пользователь: Н/Д Компьютер: SERVER Описание: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: CV2K1 Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". Как с ними бороться ??? |
nadmarik, можно в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services поискать эти "Support Boot" и CV2K1, посмотреть параметр ImagePath (имя файла), пробить в любом поисковике в инете (чтобы выяснить, относятся они к легитимному софту или являются "хвостами" убитых вирусов). Просто удалить. |
"Support Boot" не могу найти
|
nadmarik, надеюсь, без кавычек ищете?
|
ну конечно без ковычек
|
nadmarik, да не может быть.
Только если хитрый руткит не дает его увидеть (но это лечить нужно). |
проверка с CureIT от DrWeb ничего не нашла, разве что r_server.exe (Remote administrator) находящийся в папке c:\windows\system32\ - Program.RemoteAdmin.167. Я сам его установил для удаленого администрирования, и стоит он уже месяцев 6 и никаких проблем. Обновленный антивирус Касперского тожн ничего не нашел.
|
nadmarik, попробуйте ещё RootkitRevealer, если разрядность системы подходит.
|
nadmarik, выложите логи AVZ и HijackThis в соответствии с этими инструкциями.
|
Цитата:
|
karalka1, между прочим у меня тоже стоит автопереключатель D-link KVM 2 портовый. Но дело в том что чуть больше года сервак работал и не было никаких ошибок, а теперь появились.
|
Petya V4sechkin, логи в файле
|
nadmarik, в логах вирусы:
Цитата:
Цитата:
Тему лучше перенести в Лечение систем от вредоносных программ. |
Dr.Web CureIt делал полную проверку
и Касперским тоже |
nadmarik, можете проверить файл C:\WINDOWS\System32\Microsoft\Protect\svchost.exe на VirusTotal или VirSCAN.org (и отправить в Лабораторию Касперского, раз вы им пользуетесь).
|
Проверьте файл:
Цитата:
Отключите: Компьютер от интернета/локальной сети Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код:
beginПосле выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
beginВ строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. Пофиксить в HijackThis следующие строчки: Код:
+ Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. |
Цитата:
Код:
c:\windows\system32\winlogon.exe |
|
nadmarik, И?! Логи повторные где?
|
maniy77, логи в архиве http://narod.ru/disk/8204606001/logs2.zip.html
|
сделал проверку системы, в архиве логи с проверками http://narod.ru/disk/8204606001/logs2.zip.html
|
Вложений: 1
nadmarik, извините за долгое отсутствие-командировка
Продолжим лечение А вы RAdmin - удаленное управление компьютером (r_server.exe) сами устанавливали себе? по поводу проблемы вашей, у вас Kido. 1) Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 7xzq5kl8.exe случайное имя утилиты (gmer) Код:
7xzq5kl8.exe -del service ohrqkВнимание: Компьютер перезагрузится! Сделайте новый лог gmer. 2) а)Обязательно установите все 3 патча от MS: MS08-067 MS08-068 MS09-001 3) [б]скачайте утилиту из вложения[/b] и пролечитесь # Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженном компьютере. # Запустите файл kk.exe. При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители. # Дождитесь окончания сканирования. По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия. Внимание! Если на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер. + к вышесказанным рекомендациям Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль) Отключите автозапуск программ с различных носителей, кроме CDROM. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Код:
Windows Registry Editor Version 5.00*Platform: Windows XP SP2 (WinNT 5.01.2600) до Service Pack 3 (может потребоваться активация) *Internet Explorer до IE8 даже если им не пользуетесь К следующему сообщению должны быть прикреплены свежие логи: 1) AVZ 2) Gmer 3) Rsit 4) MBAM |
RAdmin - я сам установил, иногда нужен, на нем пароль стоит.
cleanup.bat - выполнил обновления устанавливал preSP3 для Server 2003 скачанный отсюда http://forum.oszone.net/thread-71346.html Код:
Протокол антивирусной утилиты AVZ версии 4.35 |
nadmarik, нельзя ли увидеть полный комплект запрашиваемых мною логов?
Цитата:
текстовую часть, пожалуйста, возьмите в тег [more] ["more] (вместо " поставьте /) |
Вложений: 1
лог gmer
|
Для деинсталяции Gmer используйте следующие рекомендации:
Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up жду от вас 1) AVZ - virusinfo_syscure.zip, virusinfo_syscheck.zip 2) Rsit 3) MBAM » еще раз настоятельно прошу Вас взять текстовую часть лога авз из вашего предыдущего сообщения (сообщение 23) в теги Цитата:
|
логи в архиве http://narod.ru/disk/8637675001/logs3.zip.html
|
Удалите в MBAM
Зараженные ключи в реестре: Цитата:
winlogon.bak - чистый файлы c:\program files\commfort_server5\commfort_server.exe.bak c:\program files\remote office manager - viewer\romviewer.exe.bak c:\program files\trafinsp\ticore.dll.bak в обработке чтобы сэкономить время, проверьте их сами на http://www.virustotal.com ссылки на результаты проверки сюда запостите как самочувствие? |
c:\program files\commfort_server5\commfort_server.exe.bak
http://www.virustotal.com/file-scan/...de-1301370887# c:\program files\remote office manager - viewer\romviewer.exe.bak http://www.virustotal.com/file-scan/...2bb-1301371493 c:\program files\trafinsp\ticore.dll.bak http://www.virustotal.com/file-scan/...f49-1301371764 |
Вы не ответили, как самочувствие.
МВАМ деинсталлируйте. Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
|
у меня Восстановление системы, нету
|
ну да, прошу прощения, у вас же ОС Windows Server 2003..
так что с проблемой? |
вы серьезно интересуетесь моим самочувствием ?? если честно то не важно, уже дастала эта ошибка изза нее не могу спокойно выйти с работы оставив сервер на Auto_Power-on___Shut-down_2.03_rus чтобы он сам отключился, потому что выскакивает окно с ошибкой и пока не нажмешь на ОК оно так и будет стоять и сервер не выключится. Кстати я паралельно решаю и эту проблему, может вы с ней поможете разобраться или они как то взаимосвязанны. тема по этой ссылке http://forum.oszone.net/thread-201841-2.html
|
Тип события: Ошибка
Источник события: DCOM Категория события: Отсутствует Код события: 10016 Дата: 16.04.2011 Время: 8:12:30 Пользователь: NT AUTHORITY\NETWORK SERVICE Компьютер: SERVER Описание: Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Активация для приложения сервера COM Server с CLSID {BA126AD1-2166-11D1-B1D0-00805FC1270E} пользователю NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20). Это разрешение можно изменить с помощью средства администрирования Component Services. |
вашу проблему с этой ошибкой решают в другой теме, а нам нужны ваши свежие логи
за более чем 2 недели многое может измениться. |
| Время: 09:03. |
Время: 09:03.
© OSzone.net 2001-