Система серьёзно пострадала. Причина неясна.

[Gladman]

Толи вирь, толи глюк, толи винт сыплется.

Предыстория:
После стандартной перезагрузки - вдруг синий экран. Минидамп не создаваётся. Хотя в настройках стояло "Создать минидамп и перезагрузиться".
Безопасный режим - аналогично.
Подцепил второй винт, стал грузиться с него. Его винда, увидев первый винт, запустила chkdsk, который выдал "Проверка дескрипторов безопасности" - "Дескрипторы безопасности повреждены. Замена на стандартные".
После чего стало возможно загружаться с первого винта.

Картина маслом:
Win XP SP3
грузится долго
строка Пуск не видна, каждый раз вытаскиваю с бубном. Открытые окна и программы в ней не отображаются; панель Быстрый запуск отключена, при включении - её значки (30 шт) занимают всю строку до трея.
IE не запускается
В журнале событий - многократная ошибка: Источник-Userenv Событие-1500 Пользователь-Network service
В Диспетчере задач колонка Имя пользователя и закладка Пользователи - пустые.
Окно управления учётными записями пользователей абсолютно пустое.
Восстановление системы не работает ("Восстановлению системы не удается защитить компьютер. Перезагрузите компьютер и повторно запустите восстановление системы")
Программы, использующие .NET выдают ошибку и не запускаются.
Антивирь ESET ESS4 как будто в порядке.

virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log

Вопрос:
Как восстановить работоспособность системы?

Есть ли смысл пытаться вытащить старые версии реестра из SystemRestorePoints?

[Info_bot]

Уважаемый(ая) Gladman, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Techno]

Код:

C:\Program Files\encfs4win
C:\WINDOWS\winstart.bat

- Ваше?

Есть ли смысл пытаться вытащить старые версии реестра из SystemRestorePoints?

Попробуйте, но сохраните нынешние.

[Gladman]

encfs4win - моё, ставил для dropbox
winstart.bat - не помню. Файл пустой, размер 2 байта.

p.s. update по симптомам:
звук частично не работает:
В Панели управления - Звуки и аудиоустройства - "Аудиоустройства отсутствуют"
На youtube звука нет.
Но в игрушке Plants vs Zombie звук есть.

В диспетчере устройств окно свойств любого устройства не открывается в принципе.

Половина служб с типом запуска "Авто" не запущена, вручную не запускаются, окно свойств любой службы также не открывается.

[Gladman]

отсутствие ответов более суток удручает. Ау.

[PavelA]

1. sfc /scannow
2. тестирование дисков на наличие сбойных кластеров.

Малваре в логах не видно, поэтому и ответов в теме не было.

[Gladman]

1. Защита файлов Windows не смогла запустить сканирование защищенных системных файлов.
Код ошибки: 0x000006ba [Сервер RPC недоступен.].
2. В процессе ... (Павел, посоветовал бы конкретный софт. Или простым CHKDSK?)

[regist]

winstart.bat

удалите его, от вируса хвосты ...

- - - Добавлено - - -

2. В процессе ... (Павел, посоветовал бы конкретный софт. Или простым CHKDSK?)

для начала можно им, потом викторией, mhdd

[PavelA]

Была такая-же проблема ( Код ошибки : 0x000006ba [Сервер RPC недоступен . ] ) - решил так:

загружаем Windows в безопасном режиме (или с life cd ),

копируем с рабочей ОС - донора файлы:

WINDOWS\explorer.exe

WINDOWS\system32\hsfcisp2.dll

WINDOWS\system32\hsfcxts2.sys

WINDOWS\system32\sfc.dll

WINDOWS\system32\sfc.exe

WINDOWS\system32\sfc_os.dll

WINDOWS\system32\sfcfiles.dll

WINDOWS\system32\svchost.exe

WINDOWS\system32\user32.dll

и заменяем файлы на поврежденной ОС.



P.S. Вероятно вирус (или "кривой софт") повредил какой-то из этих файлов или несколько, это и привело к ошибке.

Удачи!

вот примерное решение проблемы. Лог Combofix не помешал бы.

[Gladman]

* winstart.bat - удалил. Оказывается с 2010г валялся.

* Винт проверил через CHKDSK, посмотрел S.M.A.R.T., проверил Victoria - всё OK.

*

копируем с рабочей ОС - донора файлы:

сверил файлы - один в один.


* Задумался над

В журнале событий - многократная ошибка: Источник-Userenv Событие-1500 Пользователь-Network service

(напомню, свойства-описание ошибки не открывается)

Загуглил. Нашёл

Источник события: Userenv
Код события: 1500
Пользователь: NT AUTHORITY\NETWORK SERVICE
Windows не удалось выполнить ваш вход в систему, поскольку не удалось загрузить ваш профиль. Проверьте наличие подключения к сети и что сеть правильно работает. Если проблема не устраняется, обратитесь к системному администратору.
Подробно - Отказано в доступе.

Варианты:
нет разрешений NTFS на папку/файл профиля;
какая-то программа блокирует доступ.

Вспомнил про

винда запустила chkdsk, который выдал "Дескрипторы безопасности повреждены. Замена на стандартные".

Открыл Свойства-Безопасность моего диска c:\ и диска c:\ с похожей системы.
Так и есть: на моём диске права только у системы и админов "только для этой папки", а на том - полные права на папку, подпапки и файлы - у системы и админов, плюс прописаны кое-какие права у остальных пользователей. Заменил куцые права на своём диске на расширенные, перезагрузил - всё работает как часы!


p.s.
заработал и bluescreenview - показывает такой вот отчёт об ошибке, из-за которой всё и началось:

Mini092812-01.dmp 28.09.2012 12:19:00 SYSTEM_SCAN_AT_RAISED_IRQL_CAUGHT_IMPROPER_DRIVER_ UNLOAD 0x100000d4 0xa77314d0 0x00000002 0x00000000 0x805339d1 ntoskrnl.exe ntoskrnl.exe+5c9d1 Системный модуль ядра NT Операционная система Microsoft® Windows® Корпорация Майкрософт 5.1.2600.6223 (xpsp_sp3_qfe.120504-1617) 32-бит C:\WINDOWS\Minidump\Mini092812-01.dmp 1 15 2600

пошёл гуглить дальше...

upd:
что-то нифига не нагуглил. Вернее не понял: http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx

[PavelA]

сверил файлы - один в один.

по размеру, по дате, или MD5?

[regist]

Лог Combofix не помешал бы.

как сделайть лог ComboFix

[Gladman]

по размеру, по дате, или MD5?

по размеру и по дате.

Лог Combofix ComboFix.txt

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\system32\drivers\tcpip.sys','');
 QuarantineFile('c:\windows\system32\comres.dll','');
 QuarantineFile('c:\windows\system32\user32.dll','');
  QuarantineFile('c:\windows\explorer.exe','');
 QuarantineFile('c:\windows\regedit.exe','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
  QuarantineFile('c:\windows\system32\SfcFiles.dll','');
 QuarantineFile('c:\windows\system32\midimap.dll','');
 BC_ImportALL;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- - - Добавлено - - -

+ советую сравнить эти файлы по md5 с донорской системой (или лучше заменить с дитрибутива windous).
http://virusinfo.info/showthread.php?t=51654

[Gladman]

загружено

Результат загрузки
Файл сохранён как 121004_150817_quarantine_506da66134cd1.zip
Размер файла 6172341
MD5 12b011c2e5056dc74c11d41a7a253ca4
Файл закачан, спасибо!

[regist]

в карантине всё чистое ....

попробуйте ещё раз сделать sfc /scannow

[PavelA]

В логе Комбо видел директорию вроде бы от chkdsk. Думается, надо проверить еще разок chkdsk, а затем сам диск mhdd.

[Gladman]

+ советую сравнить эти файлы по md5 с донорской системой (или лучше заменить с дитрибутива windous).
http://virusinfo.info/showthread.php?t=51654

файлы проверил - md5 совпадает с донором/дистрибутом.

в карантине всё чистое ....

попробуйте ещё раз сделать sfc /scannow

В логе Комбо видел директорию вроде бы от chkdsk. Думается, надо проверить еще разок chkdsk, а затем сам диск mhdd.

Ребят, я вас перестал понимать с момента моего ответа, что всё заработало как раньше.
Зачем ещё раз sfc /scannow, chkdsk и mhdd? Если по моим ощущениям, всё встало на места и единственное, что непонятно - причина первоначального BSOD.

[PavelA]

единственное, что непонятно - причина первоначального BSOD.

Ваш первоначальный BSOD м.б. связан со сбоями на жестком диске.
http://virusinfo.info/showthread.php...l=1#post928024 -- Это Ваш ответ. От том, что все заработало после него слов ни разу не было.

[regist]

Ваш первоначальный BSOD м.б. связан со сбоями на жестком диске.

+1 об этом говорит

Подцепил второй винт, стал грузиться с него. Его винда, увидев первый винт, запустила chkdsk, который выдал "Проверка дескрипторов безопасности" - "Дескрипторы безопасности повреждены. Замена на стандартные".
После чего стало возможно загружаться с первого винта.

насчёт остального у вас похоже какая-то сборка, по крайней мере файлы которые я забирал в карантин отличаются от стандартных, вот поэтому и просил всё остальное ...

+ если предыдущая проверка sfc /scannow не была проведена до конца, то просто для профилактики не помешает новая (файлы могли побиться во время того же сбоя винчестера).