[Debugger]

Цитата Debugger:

Вирусы на компьютере были - прогонял разными антивирусами (CureIt и AVP). »

Цитата NDK:

на втором разделе обнаружился образ диска С годовой давности »

На бэкапе вирусов нет.

Цитата Petya V4sechkin:

Теперь можно сделать логи»

От радости забыли и про AVZ, и про AutoRuns и про все остальное .
Ничего подозрительного в AVZ не нашел.
Продолжение и логи здесь

[Котяра]

Мое подозрение падает на:

Код:

O21 - SSODL: SysTray - {52BB1629-74E9-4D1D-9697-70A18C9ED9FB} - c:\windows\system32\msasm.dll

Пока ничего не удалять.

Пришлите файлы c:\windows\system32\msasm.dll и C:\WINDOWS\Fonts\ARIALUNI.exe на koshkin@rbcmail.ru
Учтите, что последний файл может быть не видно в Проводнике.
Либо сделайте скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\msasm.dll', '');
 QuarantineFile('C:\WINDOWS\Fonts\ARIALUNI.exe', '');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

Файл quarantine.zip появится в папке с AVZ.
Его необходимо прислать на koshkin@rbcmail.ru
Потом напишу, надо ли что-либо удалять.

[Debugger]

Котяра, ушло.
msasm.dll отсылал на virustotal.com - результат нулевой. ARIALUNI.EXE - просто упакованный в SFX шрифт.

[Debugger]

Цитата Debugger:

Появился свет в конце туннеля - снесли в реестре Shell (Эксплорер) и все работает нормально. Есть ли альтернатива Эксплореру в плане Shell? Пока думаем про Runpad. »

Вот еще интересно - попробовал поставить в качестве замены Эксплорера оболочку BlackBox. Эксплорер она не использует вообще (в отличие от Aston например). Результат такой же - выключение

Проблема решена.

Помогло удаление c:\windows\system32\msasm.dll.

[Котяра]

Цитата Debugger:

Котяра, ушло. »

Я не вижу Вашего письма.

Цитата Debugger:

Помогло удаление c:\windows\system32\msasm.dll. »

Вирус был это, видимо. И видимо, новый - в Интернете ничего нет. Именно поэтому я писал - "ничего не удалять", хотя имя "SysTray" очень настораживает - никакого трея там быть не должно. Мне очень важен этот файл "msasm.dll" - хочу его изучить.

[Debugger]

Цитата Котяра:

Я не вижу Вашего письма. »

Письмо перешлю заново.

Цитата Котяра:

И видимо, новый - в Интернете ничего нет. »

Ни CureIt, ни AVPTool, ни virustotal.com ничего не нашли.

Цитата Котяра:

Именно поэтому я писал - "ничего не удалять" »

Компьютер отдавать надо - автосервис уже вешается.

Цитата Котяра:

хотя имя "SysTray" очень настораживает - никакого трея там быть не должно. »

Именно из-за того, что он грузится в трей, не работает ни одна оболочка - ни Эксплорер, ни BlackBox.

Цитата Котяра:

Мне очень важен этот файл "msasm.dll" - хочу его изучить. »

Файл msasm.dll и все его записи в реестре вышлю позже. Образ диска я также оставил у себя.

[Котяра]

Цитата Debugger:

Компьютер отдавать надо - автосервис уже вешается. »

Да, понятно. Я сперва и думал написать - удалите, но потом думаю, а вдруг это не вирус и ценные данные повредятся.

[Debugger]

Цитата Котяра:

а вдруг это не вирус и ценные данные повредятся. »

Я все же думаю что вирус. Думаю он пытается маскироваться под msacm.dll.

Вирус и записи из реестра переслал с двух своих разных ящиков. Должно уж прийти.

Цитата Котяра:

а вдруг это не вирус и ценные данные повредятся. »

Я уже писал, что все манипуляции мы проделывали с копией раздела.

[emusic]

Цитата Котяра:

Вирус был это, видимо. И видимо, новый - в Интернете ничего нет. Именно поэтому я писал - "ничего не удалять", хотя имя "SysTray" очень настораживает - никакого трея там быть не должно. Мне очень важен этот файл "msasm.dll" - хочу его изучить.

Наблюдаю в точности такую же ситуацию - система с кучей каталогов запчастей, с установленным msasm.dll. Но, пока диск с системой грузится в "родном" компьютере - все отлично работает. Стоит переставить диск в другой компьютер - после логина происходит завершение работы. Убрал msasm.dll - перестало завершаться.

Такое впечатление, что компания, продающая диски с каталогами, привязывает диск к аппаратуре. Хотя я звонил в их поддержку - уверяли, что диск к компьютеру не привязан, и должен работать с любым железом. Человек, с которым я говорил, про msasm.dll ничего не знает, но он явно занимается только поддержкой - о деталях может быть и не в курсе.

Самому интересно разобраться с этим msasm.dll - сейчас загнал копию системного раздела с того диска в виртуальную машину, в ней и мучаю, на msasm.dll вышел через отладчик, отслеживая, кто вызывает ExitWindowsEx. Можем объединить усилия.

У меня "Цитирование" почему-то не работает - отвечаю "быстрым ответом", с ручным цитированием.

[Ирина.Васина@vk]

При включении компьютера на мониторе окно "завершение сеанса" как можно включить компьютер?

При загрузке системы происходит завершение работы компъютера