-
Junior Member
- Вес репутации
- 56
WinXP перезагружается до ввода пароля
Добрый день!
Компьютер, находящийся в домене, перезагружается, не доходя до окна ввода имени пользователя и пароля. Причем раньше окно ввода пароля появлялось почти сразу, а сейчас пустой голубой экран висит около 30 сек и перезагружается. В безопасном режиме с поддержкой сетевых драйверов все загружается и входит в тот же домен без проблем. Проверил последним CureIt, ни одного вируса не нашел. Логи, сделанные в безопасном режиме (иначе не могу), прилагаю.
p.s. Обновлениями Windows заведует домен, так что тут вроде все нормально, не считая того, что все еще sp2.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
RebootWindows(true);
end.
После перезагрузки cделайте повторные логи
- Закачайте карантин по ссылке http://virusinfo.info/showthread.php?t=41374
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 56
Карантин прицепил к теме, новые логи прикладываю.
-
Файл чистый, остального подозрительного тоже не видно.Будем искать дальше.
Выведите и введите опять машину в домен, если у вас на это есть права.
Желательно поставить SP3.
-
-
Junior Member
- Вес репутации
- 56
У меня есть подозрение на КриптоПро 3.6. В настройках есть закладка Winlogon. Теперь осталось разобраться, как отключить возможность использования КриптоПро как средства авторизации Windows. Кстати, в safemode Крипто не загружается. Видимо потому и вход в безопасный происходит успешно. Отключил перезагрузку системы, увидел такой BSOD: STOP 0xC000021A. На сайте MS написано:
В большинстве случаев ошибки «STOP 0xC000021A» возникает из-за сбоев в работе программы Winlogon.exe, причиной которых обычно является динамическая библиотека GINA (Graphical Identification and Authentication) от стороннего разработчика. Библиотека GINA – это заменяемый DLL-компонент, загружаемый программой Winlogon.exe. GINA реализует политику проверки подлинности интерактивной модели входа в систему. GINA выполняет все пользовательские операции по идентификации и проверке подлинности.
Буду искать дальше...
-
Деинсталлировать КриптоПро 3.6 нельзя, для проверки?
Только убедитесь перед удалением в наличии у вас всех сертификатов, паролей и ключей.
-
-
Junior Member
- Вес репутации
- 56
Не могу запустить деинсталлятор в safe mode. Пишет, что нет доступа к службе установки Windows, возможно система запущена в безопасном режиме. А в обычном режиме загрузиться не могу...
-
Запустите AVZ,зайдите в меню "Сервис"-"Менеджер автозапуска".
Там слева в списке найдите "Winlogon", нажмите.
Справа в появившемся списке найдите "cpcspi.dll" и уберите флажок перед этой строчкой.
Перезагрузитесь, напишите про результаты.
-
-
Junior Member
- Вес репутации
- 56
Не помогло. Пойду спрашивать на форум КриптоПро...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-