Показано с 1 по 19 из 19.

WinXP SP2: не грузится в нормальном режиме (заявка № 48218)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    36
    Вес репутации
    54

    Thumbs up WinXP SP2: не грузится в нормальном режиме

    Здравствуйте!

    У меня винда стала грузиться только в безопасном режиме. В нормальном доходит до момента, когда должен появиться рабочий стол, (иногда успевает появиться, иногда нет) и уходит на перезагрузку. Сделал логи стандарные + Дополнительные АВЗ-логи в безопасном режиме.
    Явно сидит руткит, т.к. после формирования логов для вас, попробовал после перезагрузки еще раз запустить "Скрипт лечения/карантина и сбора информации..." и опять
    Код:
    Файл успешно помещен в карантин (C:\WINDOWS\system32\drivers\synsenddrv.sys)
    C:\WINDOWS\system32\drivers\synsenddrv.sys >>>>> Rootkit.Win32.Small.bk  успешно удален
    Заранее благодарен за помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Плохо, что нельзя загрузиться в обычном режиме. Попробуем так.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрволл.
    Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('synsend');
     StopService('ryqwxzvid'); 
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\suagkmlcqcvx.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\suagkmlcqcvx.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc ('synsend');
     BC_DeleteSvc ('ryqwxzvid'); 
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки (попытайтесь загрузится в обычном режиме):
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    36
    Вес репутации
    54
    При выполнении скрипта было несколько красных строк, которые прочитать не успел. Потом комп перегрузился в нормальном режиме и вроде бы все заработало. Логи собрал, ошибок нет. Спасибо большое!
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Не торопитесь, ещё не всё.

    Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\DOWNLO~1\FEWatch4.ocx','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
    RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно пункта 2 Правил (Диагностика)
    virusinfo_syscheck.zip
    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.
    Последний раз редактировалось PavelA; 18.06.2009 в 16:46. Причина: Добавил восст. sfc

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    36
    Вес репутации
    54
    Точно прочитать красные строки до перезагрузки не успел, но по-моему он не смог закарантинить sfc.sys.

    Вопрос на будущее: когда просите выслать карантин, помечать все файлы или только те, которые фигурировали в последнем Вашем скрипте? Сейчас на всякий случай выслал все.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    36
    Вес репутации
    54
    Только сейчас обратил внимание: модуль FEWatch4.ocx я сам загружал. В логах есть ссылка на http://91.149.108.221:1180 - это был мой видеорегистратор с измененным портом доступа. Упомянутый OCX - его ActiveX для отображения видео.

  8. #7

  9. #8
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    36
    Вес репутации
    54
    Сделал. На сегодня я уехал, буду завтра с утра. Огромное спасибо за оказанную помощь!!!
    Вложения Вложения
    • Тип файла: log gmer.log (5.6 Кб, 7 просмотров)

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Будет называться вот так: Rootkit.Win32.Agent.lsk

    'C:\WINDOWS\System32\sfcfiles.dll' через карантин пришлите, если успели выполнить скрипт до моих добавок.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    36
    Вес репутации
    54
    Цитата Сообщение от PavelA Посмотреть сообщение
    Будет называться вот так: Rootkit.Win32.Agent.lsk

    'C:\WINDOWS\System32\sfcfiles.dll' через карантин пришлите, если успели выполнить скрипт до моих добавок.
    Добрый день.
    Строки
    Код:
    RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
    похоже не выполнились, т.к. файла sfcfiles.bak нет и в карантине никаких sfc* тоже нет.

    Не понял про какие добавки идет речь? Скрипт выполнял сразу после публикации его тут.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполните:
    Код:
    begin
    RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
    RebootWindows(true);
    end.
    'C:\WINDOWS\System32\sfcfiles.bak' - пришлите через добавление в карантин AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    36
    Вес репутации
    54
    При помещении в карантин AVZ сказал:
    Код:
    
    Ошибка карантина файла, попытка прямого чтения (sfcfiles.bak)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\sfcfiles.bak)
     Карантин с использованием прямого чтения - ошибка
    
    Файл успешно помещен в карантин (C:\WINDOWS\system32\sfcfiles.bak)
    Однако файл ненулевой длины в карантине появился. Отправил его Вам.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Теперь скрипт станд. №2 повторите и лог пришлите.
    Trojan.WinSpy.145 - по Др.Вебу
    Trojan.Win32.Patched.fr - по Касперскому.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    36
    Вес репутации
    54
    Сделал.
    Вложения Вложения

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Чисто в логе стало.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите все последние обновления системы Windows и используемых программ.

  18. #17
    Junior Member Репутация
    Регистрация
    18.06.2009
    Сообщений
    36
    Вес репутации
    54
    Спасибо вам огромное!!!

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот тут.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\suagkmlcqcvx.sys - Rootkit.Win32.Agent.lsk ( BitDefender: Backdoor.Generic.184744 )
      2. c:\windows\system32\sfcfiles.bak - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.145 )


  • Уважаемый(ая) gladov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зависает windows в нормальном режиме
      От Lynch1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.10.2010, 07:31
    2. не запускается в нормальном режиме
      От lexanic в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.05.2010, 17:15
    3. Ответов: 15
      Последнее сообщение: 11.04.2010, 23:17
    4. BSOD в нормальном режиме
      От alivan в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.03.2010, 18:14
    5. Не загружается Windows в нормальном режиме
      От Dunkelheit в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.11.2009, 19:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00281 seconds with 20 queries