В spidernt.logЭто как посмотреть?По логу спайдера - кто дроппает?
__________________.txt 6,37К
66 Скачано раз
Не запускается планировщик
Автор
nikita800
, мар 25 2009 23:43
149 ответов в этой теме
#61
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 28 Март 2009 - 03:48
__________________.txt 6,37К
66 Скачано раз
#62
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 28 Март 2009 - 04:00
Ну дык чего? Вроде все вирусы удалили )))
Может теперь поможете включить планировщик заданий и обновить базы?
Может теперь поможете включить планировщик заданий и обновить базы?
#63
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 28 Март 2009 - 21:00
Это не лог...В spidernt.logЭто как посмотреть?По логу спайдера - кто дроппает?
Хайджек и Regedit запускаются?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#64
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 29 Март 2009 - 03:38
Неа, не запускаются.Хайджек и Regedit запускаются?
#65
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 29 Март 2009 - 19:45
Тогда продолжаем разговор. Давайте свежие логи.Неа, не запускаются.Хайджек и Regedit запускаются?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#66
katbert
-
- Posters
- 211 Сообщений:
Member
Отправлено 30 Март 2009 - 11:11
Если regedit и сторонние утилиты не запускаются - т.е. вообще ничего не происходит, возможно это случай, описанный мною на anti-malware
www.anti-malware.ru/forum/index.php?showtopic=7120
Исправить можно сторонним редактором реестра - например, Registry Workshop или ERD
www.anti-malware.ru/forum/index.php?showtopic=7120
Исправить можно сторонним редактором реестра - например, Registry Workshop или ERD
#67
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 18:09
Продолжаем 
Какие логи надо, можно ещё раз повторить, а то я уже запутался в них.
Так, реестр я запустил, что смотреть в нём и что сохранять?
Какие логи надо, можно ещё раз повторить, а то я уже запутался в них.
Так, реестр я запустил, что смотреть в нём и что сохранять?
#68
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 01 Апрель 2009 - 18:13
Те же, что и были: лог Хайджека, РкУ и три лога КуреИта.Какие логи надо, можно ещё раз повторить, а то я уже запутался в них.
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#69
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 18:24
И еще, как указано по ссылке выше, у меня в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
почти все строки debugger, со значением "ntsd -d"
Поменял Хиджек значение на "ntsd" и он запустился.
Мне что теперь вручную каждый параметр "ntsd -d" на "ntsd" менять???
почти все строки debugger, со значением "ntsd -d"
Поменял Хиджек значение на "ntsd" и он запустился.
Мне что теперь вручную каждый параметр "ntsd -d" на "ntsd" менять???
#70
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 01 Апрель 2009 - 18:26
Вероятно. Дебаггер там не в тему.Мне что теперь вручную каждый параметр "ntsd -d" на "ntsd" менять???
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#71
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 18:30
Возможно что из-за этого я не могу включить Планировщик?Вероятно. Дебаггер там не в тему.Мне что теперь вручную каждый параметр "ntsd -d" на "ntsd" менять???
#72
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 18:35
При запуске Хайджека вот это показывается http://savepic.ru/545060.png
И такая же фигня, если запустить DrWebUpW.exe из папки Др.Веба вручную.
И такая же фигня, если запустить DrWebUpW.exe из папки Др.Веба вручную.
#73
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 18:46
ВотПокажите экспорт ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
Schedule.rar 1,03К
45 Скачано раз
#74
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 01 Апрель 2009 - 18:57
экспорт этой ветки тоже приложитеИ еще, как указано по ссылке выше, у меня в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options почти все строки debugger, со значением "ntsd -d"
#75
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 01 Апрель 2009 - 19:04
Экспортируйте всю ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Эти не обязательно,но желательно
[HKEY_CLASSES_ROOT\exefile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Эти не обязательно,но желательно
[HKEY_CLASSES_ROOT\exefile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#77
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 19:15
Экспортируйте всю ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Эти не обязательно,но желательно
[HKEY_CLASSES_ROOT\exefile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Вот тут все ветки, какие просили
LogReestr.rar 10,34К
42 Скачано раз
#78
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 01 Апрель 2009 - 19:24
Экспортируйте всю ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Эти не обязательно,но желательно
[HKEY_CLASSES_ROOT\exefile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Вот тут все ветки, какие просили
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwadins.exe]
"Debugger"="ntsd"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRWEB32.EXE]
"Debugger"="ntsd"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebupw.exe]
"Debugger"="ntsd"
В этих трех ветках убираем "Debugger"="ntsd"
Только "Debugger"="ntsd"
И запускаем обновлялку....Смотрим через пару минут-ветка восстановилась?
ИМХО в этой ветке все параметры "Debugger"="ntsd" можно убить,но только после создания контрольной точки восстановления.
Видать семейство http://vms.drweb.com/virus/?i=115441
Хотя лучше бы в суппорт.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#79
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 19:30
В этих трех ветках убираем "Debugger"="ntsd"
Только "Debugger"="ntsd"
И запускаем обновлялку....Смотрим через пару минут-ветка восстановилась?
ИМХО в этой ветке все параметры "Debugger"="ntsd" можно убить,но только после создания контрольной точки восстановления.
Видать семейство http://vms.drweb.com/virus/?i=115441
Хотя лучше бы в суппорт.
Т.е кликнуть правой кн.мыши на Debugger--Удалить ???
А я нажимал Изменить и исправлял "ntsd -d" на "ntsd"
Щас поудаляю всё... а как сделать контрольную точку восстановления?
#80
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 01 Апрель 2009 - 19:32
В принципе не надо точку восстановления..Если что запустите потом "Image File Execution Options.reg" что присылали(но думаю не понадобится)Т.е кликнуть правой кн.мыши на Debugger--Удалить ???В этих трех ветках убираем "Debugger"="ntsd"
Только "Debugger"="ntsd"
И запускаем обновлялку....Смотрим через пару минут-ветка восстановилась?
ИМХО в этой ветке все параметры "Debugger"="ntsd" можно убить,но только после создания контрольной точки восстановления.
Видать семейство http://vms.drweb.com/virus/?i=115441
Хотя лучше бы в суппорт.
А я нажимал Изменить и исправлял "ntsd -d" на "ntsd"
Щас поудаляю всё... а как сделать контрольную точку восстановления?
Да,удалить
P.S.
Но пока удалить только из этих трех веток
P.P.S.
C:\WINDOWS\System32\Drivers\a16t5gy0.SYS
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\BYhk8KHo.sys
на вирустотал
Сообщение было изменено mrbelyash: 01 Апрель 2009 - 19:38
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
