Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Virus ? (http://forum.oszone.net/showthread.php?t=105762)

exo 25-04-2008 17:28 789133
Virus ?
 
Win XP pro в домене.
Пользователь лазил в инете, вдруг начали закрываться все окна, комп ушёл в перезгрузку.
Включился. Вели логин и пароль для входа в систему. После того как все параметры применются, минут 3-5 ждём пока догрузится всё до рабочего стола. В сейф моде - всё ок грузится.
Проверил Нодом = 0, Каспером - 3 вируса: два удалил, а третий windows\system32\baseboaqo32.dll не удаляется и не лечится.
Загрузился в сейф моде - переместил этот DLL в другое место после этого Винда постоянно ребутится. Вернул на место этот DLL. Винда загрузилась.
Дальше. Открывая диспетчер задач: процессор загружен процессом SVCHOST.EXE 100%.
Удалил это процесс, загрузка процессора упала до стандртных 2-3%.
В сейф моде тоже процесс есть процессор на 100%.
Проверил с помощью AVZ. = 0.
Пожалуйста, помогите решить проблему.

yurfed 25-04-2008 17:33 789141
exo, Логи выложи по правилам форума http://forum.oszone.net/thread-98169.html
Да и тема не там оказалась.

Petya V4sechkin 25-04-2008 17:39 789148
Цитата:
Цитата exo
а третий windows\system32\baseboaqo32.dll не удаляется и не лечится.
Офигеть, это что, эпидемия такая?
Буквально вчера было

exo 25-04-2008 18:14 789170
Цитата:
Цитата Petya V4sechkin
Офигеть, это что, эпидемия такая?
Буквально вчера было »
Это помогло!!! теперь процесор не загружен.
Скажите, теперь могу я удалить baseboaqo32.dll ?
Petya V4sechkin, :clapping:

Pili 25-04-2008 18:19 789172
Petya V4sechkin, эпидемия, а по ссылке CurrentControlSet там все надо просматривать и менять
exo, не надо удалять, выложите логи, проверку антивирусами можете пропустить и начните сразу с п. 3.1 правил или п.2 кратких правил (если уже проверялись с помощью AVZ, можете выложить лог virusinfo_syscure.zip из папки AVZ\Log)

PavelA_VI 25-04-2008 18:47 789193
Описание малваре:
http://www.bluetack.co.uk/forums/ind...howtopic=18091

@exo Версия AVZ для лечения этого добра д.б. 4.30

Предупреждение тем, кто будет лечить: удалять через DeleteFile нельзя!

exo 25-04-2008 22:40 789351
Цитата:
Цитата PavelA_VI
Предупреждение тем, кто будет лечить: удалять через DeleteFile нельзя »
да я диск монтирую к линуху, и там сношу файло... shred name_file

rubin-vinfo 26-04-2008 12:38 789583
Файл удалять просто так нельзя...
Нужно реестр править

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Windows

оригинальный ключ

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=1

Pili 26-04-2008 13:04 789592
rubin-vinfo, недокопировал :)
в конце д.б. MaxRequestThreads=16
но это уже было по ссылке пост 3 от Petya V4sechkin
exo, где логи?

rubin-vinfo 26-04-2008 13:15 789601
Бывает, ошибся...

exo 06-02-2009 12:08 1031161
Цитата:
Цитата Pili
exo, где логи? »
сорри.
Цитата:
Цитата Petya V4sechkin
Буквально вчера было »
помогло сразу. теперь пользуюсь очень часто. бывает иногда на разных компах.


Время: 03:44.

Время: 03:44.
© OSzone.net 2001-