-
Junior Member (OID)
- Вес репутации
- 36
Помогите вылечить "система обнаружила критическую ошибку..."
Компьютер словил вирус.
Вирус был пойман и уничтожен, но остались проблемы с доступом в сеть и доступом к обновлениям windows - - при запуске IE 11 или поиске обновлений Windows выскакивает сообщение "обнаружена критическая ошибка. Система будет перезагружена через минуту"... через минуту ребутится.
Если запускать FireFox вместо IE - ошибка не выводится.
Если не подключаться к сети и не запускать обновления - ошибка не выводится.
AVZ ругается на файлы wininet.dll в system32 и syswow64 - что в них руткит код.
Если их удалить/заменить на такие же со здоровой машины или переименовать - система не грузится ни в обычном ни в безопасном режиме (подвисает на CLASSPNP.SYS)
Помогите вернуть работоспособность системы.
Прилагаю результаты сканирования.
virusinfo_syscheck.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Stanislav Klykov, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check.
В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.
Скопируйте текст
Код:
%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%CommonProgramFiles%\*.*
%ALLUSERSPROFILE%\ntuser.pol
%SystemRoot%\System32\GroupPolicy\Machine\Registry.pol
в окно Custom Scans/Fixes и нажмите Run Scan.
После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.
-
-
Junior Member (OID)
- Вес репутации
- 36
Сделано. Прикрепляю результат работы OTL
OTL.zip
-
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Введите в чёрном окне консоли sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
-
-
Junior Member (OID)
- Вес репутации
- 36
sfc /scannow - пишет, что есть поврежденные файлы, но восстановить он их не может.
пробую установку win7 sp1 в режиме обновления
- - - Добавлено - - -
полдня переставлялась винда, после чего опять вышла ошибка"обнаружена критическая ошибка. Система будет перезагружена через минуту"...
но в безопасном режиме sfc /scannow - показал теперь, что всё в порядке на 100%
-
-
-
Junior Member (OID)
- Вес репутации
- 36
Получилось, что теперь выскакивает сообщение "обнаружена критическая ошибка. Система будет перезагружена через минуту" сразу после загрузки системы в обычном режиме, и через минуты ребутится. По факту - циклический ребут.
-
Тут уже полная переустановка, без вариантов.
-
-
Junior Member (OID)
- Вес репутации
- 36
не совсем, я позаботился и снял образ диска, до обновления винды. Уже откатился обратно.
Сейчас наблюдаю поведение следующее:
1) система в обычном режиме грузится (после того как просканил программой mbam) и не ребутится
2) браузеры уже запускаются: IE, FireFox, Chrome
3) к отрытой wi-fi сети коннектится и с интернетом работает
4) к защищенной сети коннектится, но НЕТ ВХОДЯЩЕГО ТРАФИКА
5) на открытом интернете НЕ РАБОТАЕТ RDP (удаленные рабочие столы)
6) в системе постоянно обнаруживаются в реестре и в устройствах драйвера от COMODO IS - при попытке удалять, система ребутится. При этом Комодо антивирус в системе не установлен.
Может еще что-то попробуем? Мониторинг траффика?
Система то жива, и у меня чувство, что дело в поврежденном драйвере или службе, которые работают с интернетом.
Как бы вычислить виновника?
- - - Добавлено - - -
нащупал кое-что....
при попытке в браузере открыть http://www.msftncsi.com/ncsi.txt
происходит редирект на securedns.comodo.com....
где копать дальше?
-
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS, выполняйте с пункта 2. инструкции. Внимание, полный образ автозапуска будет автоматически упакован в архив 7-Zip с расширением .7Z, дополнительно упаковывать или перепаковывать в другой формат не нужно.
-
-
Junior Member (OID)
- Вес репутации
- 36
Помогло. Но другое...
поставил и прогнал утилиту Ad-ware: она нашла один троян Windows_Loader.exe на ...users\public\desktop
(и это на лицензионной винде на ноуте)
Антивирусы KAV, Dr.Web, Nod, Nsisoft Malware - его не находили.
В журнале системных ошибок нашел, что перед ребутом всплывает ошибка по файлу: lpksetup.exe
поискал его в реестре и нашел помимо него, несколько раз строчки:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\A ppCrash_lpksetup.exe ...
проверил на здоровой машине с антивирусом - там таких строк нет.
удалил эти строки.
Также нашел и удалил DNS которые прописал comodo
http://www.msftncsi.com/ncsi.txt - стал открываться корректно.
В РЕЗУЛЬТАТЕ:
интернет работает, браузеры работают, обновления винды ставятся, RDP - заработало.
Спасибо, что помогали!
-
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-