Перед тем как перезагрузится выскакивает окошко приложение будет закрыто(Win32Service).Жму не отправлять,через пару секунд выскакивает - системе необходимо перезагрузится и отсчёт около 1 минуты.Там же написано - это вызвано непредвиденной остановкой службы удалённый вызов процедур(RPC). И ещё чтото про NT AUTORHITY / System.
Так же перед этим или после этого, касперский находит два вируса
троянская программа Trojan.Win32.Qhost Файл: C:\WINDOWS\system32\drivers\etc\hosts
и
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\WINDOWS\System32\f.exe//PE_Patch.Morphine//Morphine//UPX
Обоих удаляю ,но как пониматие через какоето время они появляются вновь(я и несколько раз полную проверку делал,всё равно появляются.).
Вот и лог на всякий пожарный
Присоединённый файл
hijackthis.log
Троян обычно exe файлы поражает.
попробуй другой поставь, и проверь.
Поменял своё место гад,теперь обнаружен был здесь
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\System Volume Information\_restore{BDCD7F7B-A781-4378-A098-1CAC6D46516D}\RP367\A0665982.exe//PE_Patch.Morphine//Morphine//UPX
По той же схеме -приложение будет закрыто-найдено два вируса-минута до перезагрузки.
Не вирус :) C:\WINDOWS\system32\drivers\etc\hosts
текстовый файл (можешь в него глянуть в блокноте)
троянская программа Backdoor.Win32.SdBot.gen
Похоже просто Кряк Игрушки Morphine (?)
В логе все нормально
Запуститьс LiveCD проверь последним антивирусом (у drweb есть утила кумулятивная), проверь диск на ошибки...реестр
O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe
Сделай повторный лог, проверь на наличие данной записи.
Сделай полную проверку антивирусом в безопасном режиме.
Можно с LiveCD проверится, как do-do любит.
O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe - пофиксил- исчезла.
Пошёл полностью проверятся.
Гм.. действительно вирь :) прозевал
И старый какой :) аж от 2004 года ..и файл hosts калечит :)
| QUOTE |
| W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей. При запуске W32.Donk.S выполняет следующие действия: 1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe 2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам: • w3.org • geocities.com • freewebpage.org • fortunecity.co.uk • angelfire.com • warez.com • sms.ac • isohunt.com • wincustomize.com • ftp.as.ro • dot.tk • irc.dal.net • irc.undernet.org • hotmail.com • msn.com • google.com • yahoo.com Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам. Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл: 127.0.0.1 www.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 rads.mcafee.com 127.0.0.1 customer.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 updates.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 secure.nai.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 mast.mcafee.com 127.0.0.1 ca.com 127.0.0.1 www.ca.com 127.0.0.1 networkassociates.com 127.0.0.1 www.networkassociates.com 127.0.0.1 avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 kaspersky.com 127.0.0.1 www.f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 viruslist.com 127.0.0.1 www.viruslist.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mcafee.com 127.0.0.1 www.mcafee.com 127.0.0.1 sophos.com 127.0.0.1 www.sophos.com 127.0.0.1 symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 www.symantec.com 2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя: • SST • database • sql • Root • admin • Guest • home • Administrateur • Verwalter • User • Default • administrator • Administrator Пароли: • 101 • pw • mypass • pw123 • admin123 • 557 • mypc • love • pass • pwd • Login • login • owner • xxx • home • zxcv • yxcv • qwer • secret • asdf • pc • win • temp123 • temp • test123 • test • abc • aaa • a • sex • god • root • administrator • alpha • 007 • 123abc • 0 • 2003 • 2002 • xp • enable • 123asd • super • Internet • computer • server • 123qwe • sybase • oracle • abc123 • abcd • database • passwd • pass • 111 • 54321 • 654321 • 123456789 • 1234567 • 123 • 12 • 1 • Password • Admin • admin • 1234 • 12345 • 12345678 • letmein • qwerty • 7777 • 1111 • asd#321 • 6969 • 123456 • password В случае успеха, червь копирует себя в следующие каталоги на удаленной системе: • C:\Documents and Settings\All Users\Start Menu\Programs\Startup • C:\WINDOWS\Start Menu\Programs\Startup • C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup • \WINNT\Profiles\All Users\Start Menu\Programs\Startup • \WINDOWS\Start Menu\Programs\Startup • \Documents and Settings\All Users\Start Menu\Programs\Startup 3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов: • %Temp%\upd32a.exe • %Temp%\kspd32a.exe • %System%\navinst.exe 4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала. |
иногда помогают мелкие утилки антивирусные ..например
http://us.mcafee.com/virusInfo/default.asp?id=stinger
Ксати Почисти файл hosts
Оставь только строчку
127.0.0.1 localhost
Это сообщение отредактировал do-do - 09-03-2008 - 21:11
После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!).Все проблемы как рукой сняло).В связи с этим вопрос: аудио кодеки на интегрированную карту без разницы какие ставить?Да и где их найти?
| QUOTE |
| После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!) |
Гхыгс...
А чо так? Удалял че-нить во время проверки?
... Он вернулся!!!! А самое обидное что касперского установить не могу.Как-то я намудрил при последней установке,что он и не установлен и при повторной установке ошибку выдаёт.Какой ещё антивирус можно установить чтоб хоть както помогло?
вот лог...Мне сразу не понравилось всё с 01...Что дальше делать то?
Присоединённый файл
____________________2_.txt
И ещё. Ты всё переустановил и опять появилась зараза? Вспомни детально, что ты в комп вставлял (флэшки, диски и т.п.). Возможно где-то там притаилась болезнь. перепроверь всё своё хозяйство на здоровом компе.
W32/Sdbot-ACK:
C:\WINDOWS\System32\libsys32.exe
C:\WINDOWS\System32\libsys32.exe
Изменения, сделанные им в hosts:
O1 - Hosts: 82.146.60.44 postbank.de
O1 - Hosts: 82.146.60.44 www.postbank.de
O1 - Hosts: 82.146.60.44 banking.postbank.de
O1 - Hosts: 82.146.60.44 direkt.postbank.de
O1 - Hosts: 82.146.60.44 www.smile.co.uk
O1 - Hosts: 82.146.60.44 smile.co.uk
O1 - Hosts: 82.146.60.44 cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.co.uk
O1 - Hosts: 82.146.60.44 cahoot.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.com
O1 - Hosts: 82.146.60.44 co-operativebank.com
O1 - Hosts: 82.146.60.44 personal.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.co.uk
O1 - Hosts: 82.146.60.44 ibank.barclays.co.uk
O1 - Hosts: 82.146.60.44 www.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.touchclarity.com
O1 - Hosts: 82.146.60.44 hsbc.co.uk
O1 - Hosts: 82.146.60.44 www.hsbc.co.uk
O1 - Hosts: 82.146.60.44 hsbc.touchclarity.com
O1 - Hosts: 82.146.60.44 www1.member-hsbc-group.com
O1 - Hosts: 82.146.60.44 lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 www.lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 lloydstsb.com
O1 - Hosts: 82.146.60.44 www.lloydstsb.com
O1 - Hosts: 82.146.60.44 mi.lloydstsb.com
O1 - Hosts: 82.146.60.44 www.woolwich.co.uk
O1 - Hosts: 82.146.60.44 woolwich.co.uk
O1 - Hosts: 82.146.60.44 www.deutsche-bank.de
O1 - Hosts: 82.146.60.44 deutsche-bank.de
O1 - Hosts: 82.146.60.44 meine.deutsche-bank.de
O1 - Hosts: 82.146.60.44 www.anbusiness.com
O1 - Hosts: 82.146.60.44 anbusiness.com
O1 - Hosts: 82.146.60.44 www.abbeyinternational.com
O1 - Hosts: 82.146.60.44 www.barclays.com
O1 - Hosts: 82.146.60.44 barclays.com
O1 - Hosts: 82.146.60.44 ibank.internationalbanking.barclays.com
O1 - Hosts: 82.146.60.44 offshore.hsbc.com
NANPY-A WORM:
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
KASSBOT-C WORM:
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
Все тот же SDBOT-ACK WORM:
O4 - HKLM\..\Run: [Microsoft System Checkup] libsys32.exe
O4 - HKLM\..\RunServices: [Microsoft System Checkup] libsys32.exe
O23 - Service: NT login service (ntlogin32) - Unknown owner - C:\WINDOWS\System32\libsys32.exe
Старый знакомый DONK:
O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe
Но фиксим только это:
O9 - Extra button: Cтатистика Веб-Антивиру&# 1089;а - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (file missing)
Качаем
(), создаем загрузочный диск из образа, загружаемся с него. После загрузки BartPE вместо кнопки Пуск, появится кнопка GO, запусти, найди Касперского и запусти его с полной проверкой компьютера.Все, что нужно, Касперским удаляешь, делаешь лог, выкладываешь сюда.
Присоединённый файл
hijackthis.log
Антивирус, кстати, сейчас нормально работает?
Это сообщение отредактировал Vertigo - 13-03-2008 - 22:51
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
Если процессор не поддерживает HyperThreading, то это можно убрать, т.к. оно замедляет работу системы. Какой процессор?
Это сообщение отредактировал Vertigo - 13-03-2008 - 22:52
Установил KIS 7.0 ...
Пока всё тихо
.
C:\WINDOWS\system32\svchost.exe -k LocalService
Удалённый реестр...
| QUOTE |
| Процессор - athlon 1800 32х(вроде). |
Для чего на атлоны вместе с AGP-драйверами ставится патч для интеловских пентиумов с поддержкой HyperThreading, мне совершенно не понятно.
Скачай утилитку и удали HTpatch.
| QUOTE |
| C:\WINDOWS\system32\svchost.exe -k LocalService |
А где в логе k LocalService? Что-то я не вижу...
| QUOTE (Vertigo @ 13.03.2008 - время: 21:33) |
| А где в логе k LocalService? Что-то я не вижу... |
Всё-разобралась-икскьюз ми...
.Если пару дней простоит,значит всё в порядке.
у меня тоже какая-то зараза сидит...
А какая, понять не могу...
Сначала стоял НОД32, нашел два вируса, но не вылечить не удалить не смог. Потом поставил ДрВеба не нашел нихрена, сейчас поставил KIS 7, нашел 13 тысяч вирусов, удалить не смог. Поставил AVG, не нашел нихрена, поставил обратно KIS, говорит, что вирусов нет...
А комп все хуже и хуже работает... =(
Explorer.exe каждые минут 15 говорит, что допустил ошибку и будет закрыт.
Комп виснет оч. часто...
И тормозит как черепаха...
И с цветами какой-то бардак стал... Все киношки и игры стали ОЧЕНЬ темными... =(((
А вроде комп не очень слабый:
AMD Athlon™ 64 X2 Dual Core Processor 3800+
2.01 ГГц, 1,00 ГБ ОЗУ
Стоит Винда (лицензия) XP Home Edition SP2
| QUOTE |
| Качаем (), создаем загрузочный диск из образа, загружаемся с него. После загрузки BartPE вместо кнопки Пуск, появится кнопка GO, запусти, найди Касперского и запусти его с полной проверкой компьютера. Все, что нужно, Касперским удаляешь, делаешь лог, выкладываешь сюда. |
Хотя нет, дай сначала лог гляну.
Это сообщение отредактировал Vertigo - 14-03-2008 - 12:04
Присоединённый файл
hijackthis.log