Винда гонит

[Prince NAMTARr]

Народ, помогите плиз! У меня стоит Винда ХР и почему то после первой перезагрузки после установки появляются ошибки:
1. не запускается диспетчер задач (см. рис. 1)
2. не работает как надо стронг и кое-какие другие проги (см. рис. 2)
3. после загрузки системы включается и тут же ВЫКЛЮЧАЕТСЯ антивирус и фаирвол.

Вирусов нет, носил винт к другу у него проверили, вроде все ок.
Помогите плиз.
ЗЫ. Винду ставил с 2 разных дисков уже раз 5 - ниче не помогает

[wertyman]

Больно похоже на вирус..
Скачай http://www.hijackthis.de/ прогу и покажи, что результат ее сканирования

[Babr]

Ну это нормальное явление для винды....
Возможно косячит винт, именно те сектора на которые попадают виндовозовские файлы....

[Prince NAMTARr]

Больно похоже на вирус..
Скачай http://www.hijackthis.de/ прогу и покажи, что результат ее сканирования

лог файл? показать

Добавлено через 14 минут
fak я не догоняю чето как эту прогу юзать

[wertyman]

лог файл? показать

Да.
От косяков винта, диспетчер задач отключатся не будет Так делают некоторые трои, если сам не настраиваешь так..

[Babr]

Да.
От косяков винта, диспетчер задач отключатся не будет Так делают некоторые трои, если сам не настраиваешь так..

Ещё как бывает уж поверь опыту!

[Prince NAMTARr]

ну если это то что надо, то вот:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1846, on 24.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Softwin\BitDefender9\bdnagent.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\DOCUME~1\MEDVED~1.NAM\LOCALS~1\Temp\winupta.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Program Files\Softwin\BitDefender9\bdswitch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD5933A1-15AD-4956-A65E-E8167D45ED32}: NameServer = 91.189.164.1 91.189.162.4
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 3137 bytes
пока больше ниче не догоняю

Добавлено через 2 минуты

Ну это нормальное явление для винды....
Возможно косячит винт, именно те сектора на которые попадают виндовозовские файлы....

ну, нормальное то врядли, 3 года компу, винда ставилась исключительно с 1 и того же диска, раньше вирусов было много, но они ничего не творили - просто были и все. помоему Win32.Sality.s и еще какойто похожий. только все вылечил - через месяц такая хрень

[JaguaR]

Точно такая же ситуачия один в один была. просто переустановил винду и проверил второй диск D на наличие вирусов новыми базами нода ))
ЗЫЖ помогло

[wertyman]

C:\DOCUME~1\MEDVED~1.NAM\LOCALS~1\Temp\winupta.exe
только этот процесс подозрительный..
вполне может быть, что сборка винды кривая, или вирус позаражал файлы на диске, и когда устанавливал проги, активировал его. Не все вирусы палятся антивирусами
Хотя бит дефендер, самый пароноидальный антивирь, врядли он бы пропустил какую заразу..

[Prince NAMTARr]

дело в том, что все антивирусы после установки требуют ребут. а после ребута они уже не работают

[elektr]

дело в том, что все антивирусы после установки требуют ребут. а после ребута они уже не работают

В некоторых антивирусах есть самозащита , не забыли ее включить.

[Eugene_Z]

Народ, помогите плиз! У меня стоит Винда ХР и почему то после первой перезагрузки после установки появляются ошибки:
1. не запускается диспетчер задач (см. рис. 1)
2. не работает как надо стронг и кое-какие другие проги (см. рис. 2)
3. после загрузки системы включается и тут же ВЫКЛЮЧАЕТСЯ антивирус и фаирвол.

Вирусов нет, носил винт к другу у него проверили, вроде все ок.
Помогите плиз.
ЗЫ. Винду ставил с 2 разных дисков уже раз 5 - ниче не помогает

Вирусы есть.

Есть 2 способа - простой и правильный Опишу простой.
Запусти RegEdit и запусти там поиск ключа DisableTaskMgr. У меня он находится по адресу:

Код:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F5F65D17-EF25-4EC2-BEC5-DE4ED5F972DB}User\Software\Microsoft\Windows\CurrentVersion\Policies\System

F5F65D17-EF25-4EC2-BEC5-DE4ED5F972DB - это идентификатор пользователя, на всех компьютерах он разный; остальной путь должен быть без изменений. После того как найдешь - удали этот ключ.

Единственная проблема - вирус скорее всего активен (коль скоро после переустановки он опять изменил этот параметр) и скорее всего отслеживает попытки изменения этого параметра. Так что общая рекомендация такая: попробуй удалить, если после перезагрузки параметр восстановится заново - лечись от вирусов

Второй способ - через управление политиками.

1. Пуск - Выполнить - mmc
2. Консоль - Добавить или удалить оснастку
3. Нажать кнопку "Добавить"
4. Выбрать из списка "Редактор объекта групповой политики", нажать "Добавить". Закрыть окна добавления оснастки
5. Выбрать пункт Политика "Локальный компьютер" - Конфигурация пользователя - Административные шаблоны - Система
6. Найти политику "Сделать недоступными средства редактирования реестра" и отключить ее (если включена)
7. В "Возможности CTRL+ALT+DEL" - отключить политику "Удалить диспетчер задач"

Дисклеймер. Групповые политики - суровая штука. Если кто загробит ими Windows до полной неработоспособности - я не виноват

Ну а если вирус и возможность запуска mmc закрыл - тут уже скорее всего все. Труба.

[Воланд]

У тебя Салити. Изменяет код экзешек. После лечения они не работают. Передается с любого носителя.

Перестановка ОС ничего не даст. Зараженные файлы никуда не пропадут. Формат те в помощь (всех дисков). А после уничтожаешь все флэхи и карточки от мобилок, что присоединялись к компу.

Если инфа нужна, то готовься потерять пару суток. Антивири те поставить вирь не даст. При установке приложения будут закрываться. В безопаске ты тоже не войдёшь. В реестр можно попасть через прогу, что во вложениях.

Курент юзер/софт/микр/вин/куррент верс. Там ищешь строки: disable taskmgr и disableregistry. Сносишь. До ребута у тя будет доступ о).

Утилка SalityCleaner помогает иногда (из десятка машин, ну на 2х). Под ДОС запускай образ КАВа (80Мб) - kav_rescue_2008. Либо в нете, либо у мну в просорте. Болванишь его и грузишься с него. На ночь с фуллкой оставляешь. Потом грузишься с любого эмуля (Суся, Никсы и т.п.) и запускаем из под него AVZ с расширенным поиском руткитов.

З.Ы. Альтернативный вариант. Сам изобрёл. Ставится Виста. Кав7. Регишь в нете триал кей и выкачиваешь порядка полтинника мегов обновы. Ребут и проверку с удалением всего живого. Для надежности можно после всего запустить НОДа, который тупо потрёт уже неактивные экзешки. Дась, после Висты можно перейти обратно на ХП.

[Prince NAMTARr]

Хм, а если я 1 из 2 винтов отформатирую, а потом с другого на него скину пару файлов (образы) и отформатирую другой диск, как надо всё сделается? А то же образы - не ехешники...

[elektr]

Попробуй просканить с сд не устанавливая сканер в систему.

[Воланд]

Хм, а если я 1 из 2 винтов отформатирую, а потом с другого на него скину пару файлов (образы) и отформатирую другой диск, как надо всё сделается? А то же образы - не ехешники...

У тебя все С++ приложения заражены.

Можно аккурат выдернуть самое необходимое.

[Prince NAMTARr]

2 Eugene_Z & Воланд: он меня даже в реестр не пускает гад))) ща значит формат всех 3 дисков((
заново все качать замучаюсь(

[Eugene_Z]

2 Eugene_Z & Воланд: он меня даже в реестр не пускает гад))) ща значит формат всех 3 дисков((
заново все качать замучаюсь(

Ну, значит политикой и редактирование реестра перекрыто.

[Kay'lus]

Ёшкин-кот! Почитал - вот гадина-то какая, виря эта.
ВирусХантер рекомендует подключать заражённый этой тварью винт к нормальной (другой) системе как второстепенный и там антивирем утюжить.

[Prince NAMTARr]

нихера себе вирус и какие идиоты их только придумывают