После лечения синий рабочий экран, ярлыков нету

[pro100]

Стоит:

ПО Windows server 2003 Standart Edition SP 2

Пробовали лечить и нодом и касперским, после лечения, делаем перезагрузку, винда старует но рабочий стол не загружается

(нету ярылков ни пуска)

 

Потом делаем восстановление через образ Акроникса винда загружаеться но не получаеться вылечить

 

поэтому прошу помощи у Вас

 

Ссылка на Сбор информации:

 

httpwww.getsysteminfo.comread.phpfile=f05b10e31a31b3f162ccfe7b6915229b

GetSystemInfo_KRUM_sa_root_2010_10_19_20_46_10.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[MotherBoard]

выполните скрипт в AVZ

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1437802516-2063869448-2831137394-1003\Dc6.rar','');
QuarantineFile('C:\Documents and Settings\sa_root\Рабочий стол\LoadExpertUSB\_iokb9x.dll','');
QuarantineFile('c:\windows\svc2.exe','');
DeleteFile('c:\windows\svc2.exe');
DeleteFile('C:\Documents and Settings\sa_root\Рабочий стол\LoadExpertUSB\_iokb9x.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1437802516-2063869448-2831137394-1003\Dc6.rar');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

комп перезагрузится

выполните скрипт

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

 

Карантин: quarantine.zip отправьте по форме: http://support.kaspersky.ru/virlab/helpdesk.html

Результаты ответа сообщите в теме

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете. Если не уверены - не удаляйте). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

 

 

 

что с проблемами?

Изменено 19 октября, 2010 пользователем MotherBoard

[pro100]

Сделал все выше указанное.

Не получилось прикрепить Файл "quarantine" так как файл превышает допустимый размер, я его прикреплю к письму

 

при перезагрузке

В процессах все равно висит этот процесс "svc2.exe"

 

системы выдает ошибки

в событиях

 

1)Источник Serive Control Manager

Код ошибки 7026

 

Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:

crcdisk

 

2)Источник Application Error

Код ошибки 1000

 

Ошибка приложения iexplore.exe, версия 8.0.6001.18702,

модуль ntdll.dll, версия 5.2.3790.4455, адрес 0x0004cdf2.

 

 

Сделал логи еще раз.

 

httpwww.getsysteminfo.comread.phpfile=7d4b4004d4bfa97bed72659aebf10ccd

Строгое предупреждение от модератора Mark D. Pearlstone

Не выкладывайте карантин на форум, пожалуйста. Если quarantine.zip превышает размер 1,5 Мб, то отправьте его на newvirus@kaspersky.com

hijackthis.log

mbam_log_2010_10_20__08_23_16_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 20 октября, 2010 пользователем Mark D. Pearlstone

[akoK]

Все, что нашел MBAM удалите.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('c:\windows\svc2.exe','');
DeleteFile('c:\windows\svc2.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте при помощи этой формы.

 

 

Повторите логи.

[pro100]

Все сделал как Вы писали

 

Файл с карантин выслал по указанной ссылке

Логи тоже повторил

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\svc2.exe');
DeleteFile('c:\windows\svc2.exe');
DeleteFile('swmxrkfa.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[pro100]

Одна проблема, Combofix ругается на то что он не работает с windows server 2003

[snifer67]

Лог авз сделайте.

[pro100]

Вот логи

и скрин шон ошибки которая выскакивает при каждой перезагрузки системы

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Roman_Five]

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

в дереве слева в разделе Logon выберите ветку HKСU\Software\Microsoft\Windows\CurrentVersion\Run

справа найдите объект NetLog2

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

вверху справа нажмите Save Log

перезагрузите компьютер.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\svc2.exe','');
DeleteFile('C:\WINDOWS\svc2.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetLog2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

 

Сделайте новые логи по правилам.

прикрепите и лог OSAM

[pro100]

Новые логи

osam.html

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 20 октября, 2010 пользователем pro100

[MotherBoard]

выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\svc2.exe');
QuarantineFile('c:\windows\svc2.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\windows\svc2.exe');
BC_Activate;
RebootWindows(true);
end.

 

 

Повторите лог virusinfo_syscure.zip (стандартный скрипт №3)

[Roman_Five]

выполните скрипт:

+

1. перед выполнением скрипта замените файл C:\WINDOWS\system32\userinit.exe на чистый из дистрибутива

инструкция

2. отключите восстановление системы

Восстановление системы: включено

Изменено 21 октября, 2010 пользователем Roman_Five