Помогите вылечить "система обнаружила критическую ошибку..."

[Stanislav Klykov]

Компьютер словил вирус.
Вирус был пойман и уничтожен, но остались проблемы с доступом в сеть и доступом к обновлениям windows - - при запуске IE 11 или поиске обновлений Windows выскакивает сообщение "обнаружена критическая ошибка. Система будет перезагружена через минуту"... через минуту ребутится.
Если запускать FireFox вместо IE - ошибка не выводится.
Если не подключаться к сети и не запускать обновления - ошибка не выводится.


AVZ ругается на файлы wininet.dll в system32 и syswow64 - что в них руткит код.
Если их удалить/заменить на такие же со здоровой машины или переименовать - система не грузится ни в обычном ни в безопасном режиме (подвисает на CLASSPNP.SYS)

Помогите вернуть работоспособность системы.

Прилагаю результаты сканирования.


virusinfo_syscheck.zip
hijackthis.log

[Info_bot]

Уважаемый(ая) Stanislav Klykov, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check.

В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.
Скопируйте текст

Код:

%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%CommonProgramFiles%\*.*
%ALLUSERSPROFILE%\ntuser.pol
%SystemRoot%\System32\GroupPolicy\Machine\Registry.pol

в окно Custom Scans/Fixes и нажмите Run Scan.

После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.

[Stanislav Klykov]

Сделано. Прикрепляю результат работы OTL

OTL.zip

[Vvvyg]

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.

Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите в чёрном окне консоли sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

[Stanislav Klykov]

sfc /scannow - пишет, что есть поврежденные файлы, но восстановить он их не может.

пробую установку win7 sp1 в режиме обновления

- - - Добавлено - - -

полдня переставлялась винда, после чего опять вышла ошибка"обнаружена критическая ошибка. Система будет перезагружена через минуту"...

но в безопасном режиме sfc /scannow - показал теперь, что всё в порядке на 100%

[Vvvyg]

А что с проблемой?

[Stanislav Klykov]

Получилось, что теперь выскакивает сообщение "обнаружена критическая ошибка. Система будет перезагружена через минуту" сразу после загрузки системы в обычном режиме, и через минуты ребутится. По факту - циклический ребут.

[Vvvyg]

Тут уже полная переустановка, без вариантов.

[Stanislav Klykov]

не совсем, я позаботился и снял образ диска, до обновления винды. Уже откатился обратно.

Сейчас наблюдаю поведение следующее:
1) система в обычном режиме грузится (после того как просканил программой mbam) и не ребутится
2) браузеры уже запускаются: IE, FireFox, Chrome
3) к отрытой wi-fi сети коннектится и с интернетом работает
4) к защищенной сети коннектится, но НЕТ ВХОДЯЩЕГО ТРАФИКА
5) на открытом интернете НЕ РАБОТАЕТ RDP (удаленные рабочие столы)
6) в системе постоянно обнаруживаются в реестре и в устройствах драйвера от COMODO IS - при попытке удалять, система ребутится. При этом Комодо антивирус в системе не установлен.

Может еще что-то попробуем? Мониторинг траффика?
Система то жива, и у меня чувство, что дело в поврежденном драйвере или службе, которые работают с интернетом.
Как бы вычислить виновника?

- - - Добавлено - - -

нащупал кое-что....

при попытке в браузере открыть http://www.msftncsi.com/ncsi.txt
происходит редирект на securedns.comodo.com....

где копать дальше?

[Vvvyg]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS, выполняйте с пункта 2. инструкции. Внимание, полный образ автозапуска будет автоматически упакован в архив 7-Zip с расширением .7Z, дополнительно упаковывать или перепаковывать в другой формат не нужно.

[Stanislav Klykov]

Помогло. Но другое...

поставил и прогнал утилиту Ad-ware: она нашла один троян Windows_Loader.exe на ...users\public\desktop
(и это на лицензионной винде на ноуте)
Антивирусы KAV, Dr.Web, Nod, Nsisoft Malware - его не находили.

В журнале системных ошибок нашел, что перед ребутом всплывает ошибка по файлу: lpksetup.exe
поискал его в реестре и нашел помимо него, несколько раз строчки:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\A ppCrash_lpksetup.exe ...

проверил на здоровой машине с антивирусом - там таких строк нет.
удалил эти строки.

Также нашел и удалил DNS которые прописал comodo
http://www.msftncsi.com/ncsi.txt - стал открываться корректно.

В РЕЗУЛЬТАТЕ:
интернет работает, браузеры работают, обновления винды ставятся, RDP - заработало.

Спасибо, что помогали!

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера