NT AUTHORY SYSTEM-как следствие; а причина...?

[RAR]

Я находился на одном из сайтов развлекательного плана-www.frogsex.com
где и подцепил Torjan Muldrop. 5450. Сразу же появился диалог Windows, что
произойдёт перезагрузка NT AUTHORY SYSTEM ЧЕРЕЗ минуту (обратный отсчёт).
Внизу этого <<квадратного>> диалога также была написана причина, что: произошло преждевременное отключение серверных процессов DCOM WINDOWS-поэтому необходимо перезагрузить состему. К сожалению в этот день (2 февраля 2007) я
не обновился перед выходом в Интернет!
Свой HARD я подключал к др. компам как SLAVE - на которых имелись и
обновлялись разл. антивирусные программы. Но ни Symantec; ни NOB 32 - ничего
даже и подозрительного не нашли!
Пробовал и Cureit-ом самого Dr.Web-а....... С болванки CD-RW запускал
- где и нашёл вышеупомянутый троян. Но когда свой HARD обратно ставил на свой
комп - то всёравно и в безопасном и простом режимах ничего не выходило - окно
с диалогом беспощадно появлялось и через минуту всё перезагружалосьюю и т.д..
Попробовал найти выход, чтобы чистить на своём родном компе с помощью Dr.Web, обновившись перед этом через Автоматическое обновление..............
Этот сделал с помощью загрузочного диска Windows XP, где выбирая новую устано
вку XP-выбрал далее в этом разделе << попробовать восстановить предыдущую
систему>> и нажал R........
Что задумал получилось. Я обновился и перед сканированием своих логических дисков (HARD-а) предварительно изменил настройки МОЙ КомпьЮТЕР т.е
поставил галку в его свойствах <<Снять восстановление системы>>. А потом в
своиствах каждого лог. диска тоже такм где чистка диска - потом появилась
вкладка ДОПОЛНИТЕЛЬНО - на которой внизу, где раздел ВОССТАНОВЛЕНИЕ СИСТЕМЫ - нажал на функцию удаление контрольных точек......
Когда я сканировал вчера, не снимая восстановление системы - Dr.Web
нашёл 5 вирусов разл. толка.
Потом уже 18 февраля после очередного обновления Dr.Web 13:18 просканировал ещё раз... Ни утром - ни после выхода очередного обновления Dr.Web ничего больше не нашёл........

Помогите пожалуста восстановить мою систему; тупую переустановку лишний раз - не вижу смысла делать (обезъянья работа....)!

P.s.: К Ric-у и Gesser-у обращаюсь в первую очередь.
С уважением, RAR.

[MedvedD]

Сделайте логи согласно правилам, пожалуйста.

[drongo]

C:\WINDOWS\system32\usr32.dll - это кто будет ? Пришлите его по правилам .

вот скрипт AVZ, если так не получиться :

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\usr32.dll','');
RebootWindows(false);
end.

[NickGolovko]

По поводу падения svchost:

http://forum.kaspersky.com/index.php?showtopic=30127

[RiC]

+ AVZ - "Сервис"=>"Поиск данных в реестре"
Образец: usr32.dll
Сохраните протокол результатов поиска и добавьте в следующее сообщение.

[RAR]

RiC ! Я добавил в начало открытой мною темы Export.txt.

P.s.: Попробую прислать ZIP-архив - с usr32.dll
С уважением, RAR.

[RAR]

Нет; не получилось его скопировать и прочесть тоже...... Не даётся так просто этот usr32.dll !

P.s.: У меня реестр из 5-и разделов. Почему в AVZ нет пятого - в парамет
рах настройки <<ПОИСКА ДАННЫХ В РЕЕСТРЕ>>; это: HKEY_CURRENT_CONFIG ?
Дальше-то, что необходимо сделать?
Ответьте пожалуйста, RiC.
RAR.

[RAR]

drongo!
Как скрипт пошагово <<загонять то>>в AVZ.......?
У меня произошёл перезагруз-да и только, когда в меню файл-выполнить скрипт! Или не правильно..........?
Ответьте мне пожалуйста.
P.s.: Я добавил в карантин; потом просмотрел сам карантин и заархивировал. Правильно?
Цепляю этот файл о USR32.dll.
RAR

[moderated] Затребованные файлы нужно отправлять согласно приложения 2 правил (через страничку загрузки)

[Shu_b]

http://virusinfo.info/showthread.php?p=97462#post97462

[RAR]

Shu_b!
Вы мне предоставили ссылку:http://virusinfo.info/showthread.php...62#post97462-Я понял что касаемо моей проблемы. СПАСИБО.
Но чё нужно (какие шаги) сделать-то. Подскажите пож-та -что
дальше делать, а то вторые сутки на месте топчусь!!!!!
Жду ответа.
RAR

[kps]

AVZ - Файл - Выполнить скрипт
Выполните следующий скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\usr32.dll');
BC_ImportDeletedList; 
ExecuteSysClean;  
BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
BC_Activate; 
RebootWindows(true); 
end.

[RAR]

Дорогой Kps. А дальше что надо делать после выполнения? Дальше то что
необходимо выполнить?
Ответьте пожалуйста!
С уважением, RAR.

[drongo]

Да, необходимо выполнить, если просят. Не нужно лс и переспрашивать. Не помешает посмотреть, то что теперь происходит ( После выполнения скрипта Kps !!! ) Новые 3 лога из правил , пожалуйста.+ boot_clr.log из папки AVZ прикрепить к теме .

[RAR]

Спасибо ребята! usr32.dll-удалился вроде! Дальше, что будем делать........?
3 свежих лог-файла по этому вопросу прицепляю в свою тему.
Жду дальнейших указаний.
RAR.

[RAR]

РЕБЯТА. Сразу же пишу отдельным постом касаемо-этой же темы; но очередная проблема теперь уже с службами. Подозреваю, что неправильные настройки в:
: Локатор удалённого вызова процедур (RPC); Точно - запуск серверных процес-
сов DCOM; Windows Installer и может быть ещё др. ЧТО-НИТЬ.
Дело в том, что появились проблемы с вновь устанавливаемыми
программами - не удаётся установить. Проблемы и с запусками: Сократ Персо-
нальный 4.1. при запуске виснет; а программа с которой мне приходилось работать ранее из 3-х процессов (приложений запуска) - последний не запускает
-Я как обычно в ручную нажимаю, чтобы запустить - а она [ORTrade.exe]-не за-
пускается. Её элемент находится у меня в автозагрузке [orschd.exe].
Я связываю это с таймером серверных процессов DCOM, который был отключен вручную мною и потом мною изменён в целом как служба. В службе
стояла перезагрузка компа через 1 минуту-Я оставил не делать никаких действий
Она при запуске вручную - запускалась, но потом выдавала ошибку 1053.
Я, к сожалению поменял ту учётную запись, которая уже была; на ней был пароль
А потом-понял, что зря делал т.к. причина могла быть в другом! И возвращая
прежнюю учётную запись-уже не смог подобрать пароль.
Что теперь делать не знаю ? Пробовал через загр. диск: Установка
XP=>ввод=>Восстановить [R]- где после этой процедуры всё работала-но на разок. Т.к. при выключении или перезагрузке; или создания контрольной точки уже было по прежнему.
В загр. диске, где установка XP, есть функция ВОССТАНОВИТЬ, используя
консоль восстановления, но я эту функцию пока не применял.
Что можно сделать, чтобы вернуть прежний корретный вид служб и работу
уже установленных программ. Не загружаться же постоянно с диска ~25 минут!
Помогите убрать этот кабардак пожалуйста.

С уважением, RAR.

[RiC]

Взять диск с дистрибутивом XP в Пуск->Выполнить написать команду sfc /scannow но компакт диск должен быть оригинальным или его полной копией.

[RAR]

RiC! Спасибо за ответ - но я уже вроде решил эту задачу с службами
Windows; вчера восстановил-а сегодня пришёл с работы и всё вроде заработало.
Т.к. Я открыл тему по своей проблеме, то кроме сбоя служб,
которые я сам обнаружил - первостепенно была нужна помощь ребят,
которые захотели откликнуться на мою беду.
Т.к. Вы ребята всё это время мне помогали, то мне сегодня хотелось финализировать свою тему этим постом; Я хочу спросить у Вас-
<<Мы всё подчистили и удалили или же есть какие то предложения и
советы для меня ещё, чтобы до конца всё подозрительное изучить вместе
и удалить?>>. Файлы: Orchd.exe и ORTrade.exe-это проверенные годами
файлы и я их использую в одной из программ...... В автозагрузке есть ещё
и NMBigMonitor.exe - если ответите на мой пост-то пришлю!
Что нужно мне ещё прислать-чтобы наверняка закрыть начатую тему до конца?
В начале темы Я говорил про таймер и отключение серверных процессов DCOM с перезагрузкой системы-т.е.сбой. Я понял,
что его настройки были изменены кем то. Я их вернул в прежнее русло.
Но всё остальное, касаемо вредоносных и подобных игрушек - остаётся
до конца за Вами......
Можно ли считать, что всё удалили и нашли; или......?
Ответьте на этот пост пожалуйста т.к. не вижу пока больше смысла
переписываться в одиночку и искать что то ещё у себя в компе без
Вашей квалифицированной помощи! ИЗВИНИТЕ ЧТО РАЗМАЗАЛ ПОСТ!!

С уважением, RAR.

[Shu_b]

...или же есть какие то предложения и
советы для меня ещё, ....

Небольшой совет.
Старайтесь не устанавливать программмы в директории с русскими наименованиями. Особенно это касается таких приложений как Drweb.
Вы можете заиметь проблемы с их работой.

Код:

C:\9E9E~1\DrWeb\SpiderNT.exe
C:\проги\DrWeb\drwebscd.exe
C:\9E9E~1\DrWeb\spidernt.exe
C:\проги\DrWeb\spiderml.exe

Создайте лучше "progs" и переустановите его туда.

[RAR]

Shu_b! Я Вас понял поверхностно. А код, который Вы запостили-им что
хотите мне сказать? Если Я использую этот код - через кнопку ВЫПОЛНИТЬ-то потом как в новую папку то переносить?
Самое главное: МОЖНО СЧИТАТЬ, ЧТО Я ОЧИСТИЛСЯ ОТ
ВСЕЙ ЗАРАЗЫ ПОЛНОСТЬЮ ИЛИ НЕТ. После всего, что советовали в постах
-проделал? Или Нет? Ответте мне однозначно пожалуйста.
Меня Сейчас это в первую очередь интересует!
RAR.

[RAR]

NickGolovko! Вы в одном из постов написали-По поводу падения svchost:
http://forum.kaspersky.com/index.php?showtopic=30127..............
С брандмауером всё понятно! А вот с: <<Установить патч от Microsoft для NetAPI: http://www.microsoft.com/downloads/details...1a-46b3eac7a305>>-не совсем. Например: Есть ли разница его ставить до или
после всех критических обновлений (Windows; Explorer; Microsoft OFFICE)?
И куда он будет устанавливаться (директория)? Что такое NetAPI?
Ответьте пожалуйста!

С уважением, RAR.