|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] WinXP SP2_проблемы с загрузкой и сетью |
|
[решено] WinXP SP2_проблемы с загрузкой и сетью
|
Пользователь Сообщения: 125 |
Профиль | Отправить PM | Цитировать
Проблема очень напоминает ранее уже решенную тему (благодаря AlexTNT ,iskander-k) http://forum.oszone.net/thread-189119.html, но сейчас она возникла на рабочем сервере.
Описание: 1) резко возросло время запуска системы 2) в диспетчере отсутствуют имена пользователей 3) пропало сетевое подключение 4) невозможно файлы скопировать с одного диска на другой 5) МВАМ не запускается (run-time error 372) Пункты 1 и 2 уже знакомы (по предыдущей теме), а вот 3, 4 и 5 - что-то новенькое Восстановление не работает. Пробовал применить ComboFix - результата нет. Логи сделаны до применения ComboFix Остановилась вся работа. Сервер работает в сети. Очень жду Вашей помощи! Своими силами сделать ничего не смог. |
|
Отправлено: 13:35, 14-11-2010 |
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать Я так понимаю, что у хелперов работы немеренно. Поэтому есть предложение к администрации: создать что-то наподобие очереди. Создал тему и видишь (или до этого), что ты 100-й и подойдет твоя очередь примерно через 3 дня. Понимаешь, что лучше не ждать, не тратить время, а заняться переустановкой. Но если уж очередь подошла, то тобой занимаются плотно и за сутки из тебя и из вируса выжмут все соки. А пока очереди нет, то просто спрашиваю: ждать своего часа? Есть перспективы решения вопроса или же не тратить время и начинать все с нуля. Есть только одно "но". Не выяснив где и чем заразился и как с этим бороться, рискуешь налететь на повторение ситуации, а такого мне могут и не простить. Все-таки компьютер в большинстве случаев необходимость, орудие труда, а не роскошь.
PS Вспомнилось нечто, на мой взгляд важное. Так думать заставили поиски по интернету. Точно утверждать не могу, но мне кажется, что вирус проявил себя после удаления с флешки файлов autorun.inf и klade.exe. Вроде бы для правильного удаления необходимо было выполнить определенный ритуал. |
Последний раз редактировалось kservice, 15-11-2010 в 12:43. Отправлено: 12:32, 15-11-2010 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием приостановить их работу Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. |
------- Отправлено: 14:09, 15-11-2010 | #12 |
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать Извините, быстро не получилось. Первый раз запустил с флешки, но засомневался в правильности. Это лог для gmer, запущенного с рабочго стола.
GMER 1.0.15.15530 - http://www.gmer.net Rootkit scan 2010-11-15 14:22:34 Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Scsi\Si3132r51Port6Path0Target10Lun0 SiImage_ rev.0000 Running: g__r.exe; Driver: C:\DOCUME~1\Admin\LOCALS~1\Temp\uftdypob.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwClose [0xBA118CF0] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateKey [0xBA118BAC] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteKey [0xBA119160] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteValueKey [0xBA11908A] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDuplicateObject [0xBA118782] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenKey [0xBA118C86] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenProcess [0xBA1186C2] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenThread [0xBA118726] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwQueryValueKey [0xBA118DA6] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRenameKey [0xBA11922E] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRestoreKey [0xBA118D66] SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwSetValueKey [0xBA118EE6] ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.) AttachedDevice \FileSystem\Ntfs \Ntfs Shadow.sys (ShadowUser/StorageCraft, Inc.) AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software) AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 Shadow.sys (ShadowUser/StorageCraft, Inc.) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 Shadow.sys (ShadowUser/StorageCraft, Inc.) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 Shadow.sys (ShadowUser/StorageCraft, Inc.) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 Shadow.sys (ShadowUser/StorageCraft, Inc.) AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software) AttachedDevice \FileSystem\Fastfat \Fat SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?3? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?3? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1? ---- EOF - GMER 1.0.15 ---- |
Отправлено: 15:24, 15-11-2010 | #13 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта Drivers to disable: scnok xvlhpdic Drivers to delete: scnok xvlhpdic Files to delete: Folders to delete: Registry values to delete: Registry keys to delete: Нажмите Execute и подтвердите, нажав Yes Avenger автоматически выполнит следующее: * Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды) * При перезагрузке кратковременно появится черное окно, это нормально * После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger. * Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip. Скопируйте и вставьте содержимое файла c:\avenger.txt в следующее сообщение. После этого повторите лог ComboFix |
------- Отправлено: 16:26, 15-11-2010 | #14 |
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать Операции копирования и вставки заблокированы. Есть другой вариант выполнения скрипта?
|
Отправлено: 17:06, 15-11-2010 | #15 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Введите вручную
|
------- Отправлено: 17:11, 15-11-2010 | #16 |
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать Это я с испугу. Там есть возможность вставки из файла.
Указанные файлы он не нашел (специально я их не удалял). Вот лог Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open driver "scnok" Disablement of driver "scnok" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open driver "xvlhpdic" Disablement of driver "xvlhpdic" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\scnok" not found! Deletion of driver "scnok" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\xvlhpdic" not found! Deletion of driver "xvlhpdic" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. CobmoFix при запуске все время предлагает установить консоль восстановления, но, поскольку нет соединения с интернетом, я ему отказываю. Следует предупреждение, что он не сможет зафиксировать инфекции. Консоль вчера я установил вручную и при запуске Win она на экране есть. Вот его лог (заметил проблемы с криптографией) ComboFix 10-11-14.02 - Admin 15.11.2010 16:18:23.5.4 - x86 Running from: h:\__анти 151110\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2010-10-15 to 2010-11-15 ))))))))))))))))))))))))))))))) . 2010-11-14 17:41 . 2003-07-09 17:33 79872 ----a-w- c:\temp\aawhelper.dll 2010-11-14 17:41 . 2010-11-14 17:45 -------- d-----w- C:\Temp 2010-11-14 17:41 . 2003-07-12 20:00 684544 ----a-w- c:\temp\Ad-aware.exe 2010-11-14 12:34 . 2010-11-14 12:34 -------- d-----w- C:\rsit 2010-11-14 11:09 . 2010-11-14 11:10 -------- d-----w- C:\ERDNT 2010-11-14 11:09 . 2010-11-14 11:09 -------- d-----w- C:\Refistry backup_141110 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-10 21:35 . 2007-02-28 18:08 2019328 ----a-w- c:\windows\system32\ntkrnlpa.exe 2010-11-10 21:35 . 2004-08-17 14:05 23552 ----a-w- c:\windows\system32\wdmaud.drv 2010-11-10 21:35 . 2004-08-17 14:04 51712 ----a-w- c:\windows\system32\wzcsapi.dll 2010-11-10 21:35 . 2004-08-17 14:04 359936 ----a-w- c:\windows\system32\wzcsvc.dll 2010-11-10 21:35 . 2004-08-17 14:04 35328 ----a-w- c:\windows\system32\pid.dll 2010-11-10 21:35 . 2004-08-17 14:04 15360 ----a-w- c:\windows\system32\pjlmon.dll 2010-11-10 21:35 . 2004-08-17 14:04 17408 ----a-w- c:\windows\system32\msyuv.dll 2010-11-10 21:35 . 2004-08-17 14:04 47616 ----a-w- c:\windows\system32\iyuv_32.dll 2010-11-10 21:35 . 2004-08-17 14:04 20992 ----a-w- c:\windows\system32\hid.dll 2010-11-10 21:35 . 2004-08-17 14:04 53760 ----a-w- c:\windows\system32\dmutil.dll 2010-11-10 21:35 . 2004-08-17 14:04 48128 ----a-w- c:\windows\system32\cnbjmon.dll 2010-11-10 21:35 . 2004-08-17 13:53 40832 ----a-w- c:\windows\system32\drivers\crusoe.sys 2010-11-10 21:35 . 2004-08-17 13:48 39680 ----a-w- c:\windows\system32\drivers\processr.sys 2010-11-10 21:35 . 2004-08-17 13:47 41728 ----a-w- c:\windows\system32\drivers\amdk7.sys 2010-11-10 21:35 . 2004-08-17 13:47 41344 ----a-w- c:\windows\system32\drivers\amdk6.sys 2010-11-10 21:35 . 2004-08-17 13:47 23296 ----a-w- c:\windows\system32\drivers\mouclass.sys 2010-11-10 21:35 . 2004-08-17 13:47 30208 ----a-w- c:\windows\system32\drivers\modem.sys 2010-11-10 21:35 . 2004-08-17 13:46 80128 ----a-w- c:\windows\system32\drivers\parport.sys 2010-11-10 21:35 . 2004-08-17 13:46 46848 ----a-w- c:\windows\system32\drivers\p3.sys 2010-11-10 21:35 . 2004-08-03 21:15 140928 ----a-w- c:\windows\system32\drivers\ks.sys 2010-11-10 21:35 . 2004-08-03 21:09 25472 ----a-w- c:\windows\system32\drivers\sonydcam.sys 2010-11-10 21:35 . 2004-08-03 21:08 16000 ----a-w- c:\windows\system32\drivers\usbintel.sys 2010-11-10 21:35 . 2004-08-03 21:08 48640 ----a-w- c:\windows\system32\drivers\stream.sys 2010-11-10 21:35 . 2004-08-03 21:07 15488 ----a-w- c:\windows\system32\drivers\mssmbios.sys 2010-11-10 21:35 . 2004-08-03 21:07 63744 ----a-w- c:\windows\system32\drivers\mf.sys 2010-11-10 21:35 . 2004-08-03 21:03 12416 ----a-w- c:\windows\system32\drivers\tunmp.sys 2010-11-10 21:35 . 2004-08-03 21:03 12928 ----a-w- c:\windows\system32\drivers\ndisuio.sys 2010-11-10 21:35 . 2004-08-03 20:58 4352 ----a-w- c:\windows\system32\drivers\swenum.sys 2010-11-10 21:35 . 2004-08-03 20:58 61824 ----a-w- c:\windows\system32\drivers\nic1394.sys 2010-11-10 21:35 . 2004-08-03 20:58 60800 ----a-w- c:\windows\system32\drivers\arp1394.sys 2010-11-10 21:30 . 2001-10-19 19:06 77891 ----a-w- c:\windows\system32\usrmlnka.exe 2010-11-10 21:30 . 2001-10-19 19:06 69700 ----a-w- c:\windows\system32\usrshuta.exe 2010-11-10 21:30 . 2001-10-19 19:06 56832 ----a-w- c:\windows\system32\dvdplay.exe 2010-11-10 21:30 . 2001-10-19 19:06 14336 ----a-w- c:\windows\system32\wowfaxui.dll 2010-11-10 21:30 . 2001-10-19 19:06 86073 ----a-w- c:\windows\system32\usrfaxa.dll 2010-11-10 21:30 . 2001-10-19 19:06 8192 ----a-w- c:\windows\system32\tsbyuv.dll 2010-11-10 21:30 . 2001-10-19 19:06 8192 ----a-w- c:\windows\system32\streamci.dll 2010-11-10 21:30 . 2001-10-19 19:06 77890 ----a-w- c:\windows\system32\usrdpa.dll 2010-11-10 21:30 . 2001-10-19 19:06 77883 ----a-w- c:\windows\system32\usrrtosa.dll 2010-11-10 21:30 . 2001-10-19 19:06 72192 ----a-w- c:\windows\system32\sprio800.dll 2010-11-10 21:30 . 2001-10-19 19:06 70656 ----a-w- c:\windows\system32\sprio600.dll 2010-11-10 21:30 . 2001-10-19 19:06 69699 ----a-w- c:\windows\system32\usrcoina.dll 2010-11-10 21:30 . 2001-10-19 19:06 69632 ----a-w- c:\windows\system32\spnike.dll 2010-11-10 21:30 . 2001-10-19 19:06 61500 ----a-w- c:\windows\system32\usrcntra.dll 2010-11-10 21:30 . 2001-10-19 19:06 53305 ----a-w- c:\windows\system32\usrlbva.dll 2010-11-10 21:30 . 2001-10-19 19:06 49211 ----a-w- c:\windows\system32\usrvpa.dll 2010-11-10 21:30 . 2001-10-19 19:06 49211 ----a-w- c:\windows\system32\usrsdpia.dll 2010-11-10 21:30 . 2001-10-19 19:06 49209 ----a-w- c:\windows\system32\usrv80a.dll 2010-11-10 21:30 . 2001-10-19 19:06 45116 ----a-w- c:\windows\system32\usrvoica.dll 2010-11-10 21:30 . 2001-10-19 19:06 41019 ----a-w- c:\windows\system32\usrsvpia.dll 2010-11-10 21:30 . 2001-10-19 19:06 323641 ----a-w- c:\windows\system32\usrdtea.dll 2010-11-10 21:30 . 2001-10-19 19:06 102457 ----a-w- c:\windows\system32\usrv42a.dll 2010-11-10 21:30 . 2001-10-19 19:06 157696 ----a-w- c:\windows\system32\paqsp.dll 2010-11-10 21:30 . 2001-10-19 19:06 147968 ----a-w- c:\windows\system32\mdwmdmsp.dll 2010-11-10 21:30 . 2001-10-19 19:05 3200 ----a-w- c:\windows\system32\wowfax.dll 2010-11-10 21:30 . 2001-10-19 18:35 12160 ----a-w- c:\windows\system32\drivers\fsvga.sys 2010-11-10 21:30 . 2001-10-19 18:33 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys 2010-11-10 21:30 . 2001-10-19 18:31 262528 ----a-w- c:\windows\system32\drivers\cinemst2.sys 2010-11-10 21:30 . 2001-08-18 04:37 61508 ----a-w- c:\windows\system32\usrprbda.exe 2010-11-10 21:30 . 2001-08-17 20:06 21376 ----a-w- c:\windows\system32\drivers\tsbvcap.sys 2010-11-10 21:30 . 2001-08-17 20:03 23936 ----a-w- c:\windows\system32\drivers\usbcamd2.sys 2010-11-10 21:30 . 2001-08-17 20:03 23808 ----a-w- c:\windows\system32\drivers\usbcamd.sys 2010-11-10 21:30 . 2001-08-17 20:02 58112 ----a-w- c:\windows\system32\drivers\vdmindvd.sys 2010-11-10 21:30 . 2001-08-17 20:01 51712 ----a-w- c:\windows\system32\drivers\tosdvd.sys 2010-11-10 21:30 . 2001-08-17 19:52 18688 ----a-w- c:\windows\system32\drivers\cdaudio.sys 2010-11-10 21:30 . 2001-08-17 19:24 12032 ----a-w- c:\windows\system32\drivers\riodrv.sys 2010-11-10 21:30 . 2001-08-17 19:24 12032 ----a-w- c:\windows\system32\drivers\rio8drv.sys 2010-11-10 21:30 . 2001-08-17 19:24 12032 ----a-w- c:\windows\system32\drivers\nikedrv.sys 2010-11-10 21:30 . 2001-08-17 19:24 11776 ----a-w- c:\windows\system32\drivers\cpqdap01.sys . ------- Sigcheck ------- Cryptography Services Error !! . ((((((((((((((((((((((((((((( SnapShot@2010-11-14_09.47.07 ))))))))))))))))))))))))))))))))))))))))) . + 2004-08-18 11:00 . 2004-08-18 11:00 12288 c:\windows\system32\regsvr32_old.exe - 2004-08-18 11:00 . 2004-08-18 11:00 12288 c:\windows\system32\regsvr32.exe + 2004-08-18 11:00 . 2008-04-15 14:00 12288 c:\windows\system32\regsvr32.exe + 2010-11-11 11:19 . 2010-11-14 17:58 87112 c:\windows\system32\FNTCACHE.DAT + 2010-11-14 12:23 . 2010-11-14 12:23 11264 c:\windows\system32\drivers\uzq0nze3.sys + 2004-08-18 11:00 . 2004-08-03 19:08 57600 c:\windows\system32\drivers\usbhub.sys - 2004-08-18 11:00 . 2004-08-18 11:00 57600 c:\windows\system32\drivers\usbhub.sys + 2010-11-14 15:27 . 2010-04-29 13:39 38224 c:\windows\system32\drivers\mbamswissarmy.sys - 2010-11-14 07:03 . 2010-04-29 13:39 38224 c:\windows\system32\drivers\mbamswissarmy.sys - 2010-11-14 07:02 . 2010-04-29 13:39 20952 c:\windows\system32\drivers\mbam.sys + 2010-11-14 15:27 . 2010-04-29 13:39 20952 c:\windows\system32\drivers\mbam.sys + 2010-11-14 13:47 . 2010-09-07 15:52 46672 c:\windows\system32\drivers\aswTdi.sys + 2010-11-14 13:47 . 2010-09-07 15:47 23376 c:\windows\system32\drivers\aswRdr.sys + 2010-11-14 13:47 . 2010-09-07 15:47 94544 c:\windows\system32\drivers\aswmon.sys + 2010-11-14 13:48 . 2010-09-07 15:47 17744 c:\windows\system32\drivers\aswFsBlk.sys + 2010-11-14 13:47 . 2010-09-07 15:46 28880 c:\windows\system32\drivers\aavmker4.sys + 2010-11-14 13:47 . 2010-09-07 16:12 38848 c:\windows\avastSS.scr + 2010-11-14 13:48 . 2010-09-07 15:52 165584 c:\windows\system32\drivers\aswSP.sys + 2010-11-14 13:47 . 2010-09-07 15:47 100176 c:\windows\system32\drivers\aswmon2.sys + 2010-11-14 13:47 . 2010-09-07 16:11 167592 c:\windows\system32\aswBoot.exe + 2004-08-18 11:00 . 2004-02-23 18:42 1386496 c:\windows\system32\MSVBVM60.DLL . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "sdasetup_Spyware Doctor"="c:\documents and settings\Admin\Рабочий стол\sdasetup_Spyware Doctor.exe" [2010-11-15 507400] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SuNotification"="c:\program files\ShadowStor\ShadowUser\suatshut.exe" [2005-01-12 40960] "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sunotify] 2005-01-12 21:49 90112 ----a-w- c:\windows\system32\sunotify.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr_old.exe"= %windir%\\system32\\sessmgr.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "4839:TCP"= 4839:TCP:scnok S0 Shadow;Shadow; [x] S1 aswSP;aswSP; [x] S1 uzq0nze3;AVZ-RK Kernel Driver;c:\windows\system32\Drivers\uzq0nze3.sys [2010-11-14 11264] S2 aswFsBlk;aswFsBlk; [x] S2 HASP Loader;HASP Loader;c:\windows\system32\nhsrvice.exe [2003-05-01 225280] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs xvlhpdic . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-11-15 16:19 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2010-11-15 16:19:31 ComboFix-quarantined-files.txt 2010-11-15 14:19 ComboFix2.txt 2010-11-15 12:43 ComboFix3.txt 2010-11-14 10:11 ComboFix4.txt 2010-11-14 09:53 ComboFix5.txt 2010-11-15 14:17 Pre-Run: 22*522*851*328 байт свободно Post-Run: 22*520*549*376 байт свободно - - End Of File - - BEDC74BE658C7AA065A2B1FC2017C23C |
Отправлено: 17:31, 15-11-2010 | #17 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Цитата kservice:
|
|
------- Отправлено: 18:24, 15-11-2010 | #18 |
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать Paint, например, пишет "Сервер RPC недоступен"
Сама служба "Удаленный вызов процедур (RPC)" находится в режиме Авто. При попытке запуска ошибка 5: "Отказано в доступе" |
Отправлено: 18:30, 15-11-2010 | #19 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Для восстановления службы, попробуем применить твик реестра.
Файл прикрепил. |
------- Последний раз редактировалось zirreX, 23-11-2010 в 18:50. Отправлено: 18:39, 15-11-2010 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Загрузка - Проблема с загрузкой WinXP | Newaccord | Microsoft Windows 2000/XP | 11 | 28-06-2013 12:27 | |
Загрузка - Проблеммы с загрузкой WinXP SP2 | ebragim | Microsoft Windows 2000/XP | 4 | 20-06-2010 11:38 | |
HDD - Проблема с загрузкой WinXP | Freezet | Microsoft Windows 2000/XP | 6 | 31-10-2008 20:20 | |
проблема с загрузкой winxp | likbez | Непонятные проблемы с Железом | 2 | 14-04-2008 07:13 | |
трабла с сетью winXP | akafist | Сетевые технологии | 1 | 14-11-2003 17:37 |
|