-
Junior Member
- Вес репутации
- 56
После лечения Dr.web CureIT windows не загружается
Доброго времени суток всем.
Описываю свою проблему.
Есть компьютер бухгалтера. Система Win Home XP. На нем производилась чистка от зловредов утилитой Dr.Web.CureIt. Он нашел зловреда ntos.exe (извините точного названия не помню). После полной проверки всех жестких дисков, я отказался от перезагрузки. После чего из инета начала производится установка SP3. На одном из моментов установка SP3 прервалась т.к программа установки не смогла получить доступ к реестру. Установка начала откатываться. Все эти действия были произведены в штатном режиме(Нормальная загрузка Windows). После этих самых действий комп перестал загружаться нормально. И при загрузке стал выдавать ошибку STOP: 000021a 0x00000005(0x00000000 0x00000000) Winlogon. В безопасном режиме компьютер загружается. Файлы AVZ и HiJackThis прилагаются.
Машину необходимо реанимировать там очень много важных программ связанных с работой бухгалтера.
Заранее очень благодарен всем кто откликнется.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
DeleteFile('%systemroot%\msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
executerepair(1);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 56
Извините карантин закачал без пароля.
-
Junior Member
- Вес репутации
- 56
Логи после выполнения скрипта. И карантин
Выполнил ваш скрипт. Правда все действия производились в безопасном режиме. В обычном система отказывается загружаться.
Еще вышлю файл то что пишет avz во время создания логов плиз, ничего , кроме запрошенного, не загружать
Последний раз редактировалось Rene-gad; 15.03.2009 в 18:48.
-
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ch7009.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ch7017.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\d3dutil.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\fs454.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\igdmini.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lvds.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ns2501.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ns387.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\sii164.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\th164.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ti410.sys','');,
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 56
Закачал новый карантин как просили. Теперь архив с паролем
-
Сообщение от
crazytosser
Закачал новый карантин как просили. Теперь архив с паролем
Будем ждать ответа Вирлаба.
-
-
Junior Member
- Вес репутации
- 56
Всем Спасибо проблема решена. Система не загружалась из за файла CProCtrl.sys находящийся в %win dir%\system32\drivers\CProCtrl.sys вместо %program dir%\CProCtrl.sys. Т.к на этой машине имеется Крипто ПРО. Всем спасибо кто ответил. Также всем спасибо за участие.
На мысль навела тема http://virusinfo.info/showthread.php?t=14256
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 58
- В ходе лечения вредоносные программы в карантинах не обнаружены
-