Здраствуйте. Имеется проблема призапуске компа с WinXP . После загрузки ОС экран отображается черным со стрелкой курсора
Создал загр usb с UVS, лог файл прикладываю.
Printable View
Здраствуйте. Имеется проблема призапуске компа с WinXP . После загрузки ОС экран отображается черным со стрелкой курсора
Создал загр usb с UVS, лог файл прикладываю.
Уважаемый(ая) [B]Virus_Info_63[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[CODE]C:\DOCUMENTS AND SETTINGS\LENIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NIS.BAT
C:\WINDOWS\SYSTEM32\ЗАВЕРШЕНИЕ РАБОТЫ.BAT
C:\PROGRAM FILES\1235238437\USER1235238437L.EXE[/CODE]
эти файлы вам знакомы?
Скрипт напишу попозже.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
OFFSGNSAVE
breg
delref HTTP://WEBALTA.RU
delall E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ISEE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LENIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NIS.BAT
zoo %SystemDrive%\PROGRAM FILES\CRON\CRON.EXE
delref HTTP://WEBALTA.RU
delall RECYCLER\S-6-6-38-100025962-100004101-100032291-2143.COM
zoo %SystemDrive%\PROGRAM FILES\1235238437\USER1235238437L.EXE
zoo %Sys32%\ЗАВЕРШЕНИЕ РАБОТЫ.BAT[/CODE]
после того как скопируете карантин, перезагрузите компьютер и сделайте новый образ автозапуска.
[QUOTE=regist;1075673][CODE]C:\DOCUMENTS AND SETTINGS\LENIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NIS.BAT
C:\WINDOWS\SYSTEM32\ЗАВЕРШЕНИЕ РАБОТЫ.BAT
C:\PROGRAM FILES\1235238437\USER1235238437L.EXE[/CODE]
эти файлы вам знакомы?[/QUOTE]
Первые два , знакомы я их сам смастерил, третий файл под подозрением, но похоже он относится к Norton IS
Скрипт выполнять с предложенным объяснением?
[quote="Virus_Info_63;1075677"]Скрипт выполнять с предложенным объяснением?[/quote]
да, эти файлы там только в карантин берутся.
И попробуйте может после скрипта уже и в обычный режиме загрузится, либо хотя бы в безопасном.
А где находится карантин? В каком каталоге либо папке под каким названием?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Прикладываю очередной лог. В безопасном режиме загрузка не произошла - синий экран с кодом ошибок
[quote="Virus_Info_63;1075682"]А где находится карантин? В каком каталоге либо папке под каким названием?[/quote]
если вы уже перезагрузили, то карантин уже утерян. А так всё на написано по ссылке [url]http://virusinfo.info/showthread.php?t=121769[/url]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[CODE]C:\PROGRAM FILES\1235238437\USER1235238437L.EXE
C:\PROGRAM FILES\CRON\CRON.EXE[/CODE]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
C:\PROGRAM FILES\CRON\CRON.EXE
это мой файл. Планировщик заданий.
ни чего если я его оставлю?
Я конечно не знаток но есть предположение что вирус кроется в dll файле и запускается с приложением.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE=regist;1075684]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[CODE]C:\PROGRAM FILES\1235238437\USER1235238437L.EXE
C:\PROGRAM FILES\CRON\CRON.EXE[/CODE]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.[/QUOTE]
Что то я не понял куда вставлять код?
никуда его вставлять не надо. Сами заархивируйте эти файлы в ZIP архив и пришлите в карантин по ссылке вверху темы.
Не могу файл C:\PROGRAM FILES\1235238437\USER1235238437L.EXE
ни копировать ни удалить , нет доступа...
вообще не отображается в командаре
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\1235238437\USER1235238437L.EXE
regt 12[/CODE]
+ снова проверьте, что с загрузкой системы?
Высылаю архив. Если не то поправте меня[ATTACH]454672[/ATTACH][ATTACH]454673[/ATTACH]
[quote="Virus_Info_63;1075677"]третий файл под подозрением, но похоже он относится к Norton IS[/quote]
сомневаюсь, что файлы которые относятся к антивирусу пишут на Аутоит ;). Пока на всякий случай переслал в вирлабы, чтобы попозже с чистой совестью его удалить :).
Пока можете переименовать этот файл в другое имя и ещё раз проверить загрузку.
[quote="Virus_Info_63;1075906"]ZOO.zip[/quote]
это карантин, не надо его прикреплять к сообщению - уберите из вложений. Достачно что вы его загрузили по ссылке наверху.
Настораживает то, что лог указывает
[CODE]C:\PROGRAM FILES\1235238437\USER1235238437L.EXE [Системе не удается найти указанный путь. ][/CODE]
его и в правду там нет
[quote="Virus_Info_63;1075942"]его и в правду там нет[/quote]
при этом он успешно попал в карантин :? [url]https://www.virustotal.com/file/bc49bbae4e115c2dae41e805442293e11c4bf3106af33ebcefac1592417831b6/analysis/1388683520/[/url]
Так он у меня есть в ПК или нет? Проблема то осталась, Темный экран со стрелкой так и весит.
[quote="Virus_Info_63;1075948"]Так он у меня есть в ПК или нет?[/quote]
раз попал в карантин значит есть.
заархивируйте ещё папку
[CODE]C:\PROGRAM FILES\1235238437\[/CODE]
в в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы
А я пока жду ответа из вирл
после этого переименуйте эту папку и проверьте, что с проблемой.
По указанному пути нет ни файла ни папки
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]
[CODE];uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
OFFSGNSAVE
breg
regt 5
regt 11
regt 12
regt 20
restart[/CODE]
ещё раз проверьте что с проблемой.
Скрипт выполнен, проблема осталась
[ATTACH]454760[/ATTACH]
Хотя в безопасный режим выход есть. Может это не вирус а программные проблемы?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Может это как то проблему разрешит
Спецы загнулись?
[QUOTE][B][COLOR=Navy]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 14.02.2013 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.[/QUOTE]
Пожалуйста обновите базы и сделайте новые логи.
Relevant-Knowledge - деинсталируйте.
+ попробуйте временно отключить/деинсталировать антивирус и ещё раз проверить, что с проблемой.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[quote="Virus_Info_63;1076306"]Спецы загнулись?[/quote]
я как и остальные хелперы помогаю в свободное время, у меня нет возможности сидеть 24 часа в сутки на форумах, так что имейте терпение.
[ATTACH]454949[/ATTACH][ATTACH]454948[/ATTACH]
Прилогаю полученный материал, только не могу вложить syscure.zip ставит почему то воскл. знак:?:?
virusinfo_autoquarantine.zip из папки Log в папке AVZ загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
[quote="regist;1076340"]+ попробуйте временно отключить/деинсталировать антивирус и ещё раз проверить, что с проблемой.[/quote]
сделали?
Антивирус отключил, хотя в HijackThis он отображается как запущенный
HijackThis скачайте последнюю версию и переделайте лог.
Лог прилогаю.
Вопрос в следующем, может Explorer.exe либо Winlogon загружает какую то dll от чего все это и происходит
Необходим список оригинальных dll загружаемых Explorer
[b]Virus_Info_63[/b], 3-й раз спрашиваю
[quote="regist;1076397"]+ попробуйте временно отключить/деинсталировать антивирус и ещё раз проверить, что с проблемой.
сделали?[/quote]
[QUOTE=Virus_Info_63;1076403]Антивирус отключил, хотя ...[/QUOTE]
повторяю
Далее удалил - черный экран со стрелкой висит
Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе. В этом случае выполните следующие действия.
[B]Пуск[/B] - [B]Поиск / Выполнить[/B] - [B]msconfig[/B] - [B]ОК[/B] и перейдите на вкладку [B]Службы[/B]. Установите флажок [B]Не отображать службы Microsoft[/B].
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.
Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке [B]Автозагрузка[/B].
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.
Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.
Подробнее об этой диагностике читайте [URL='http://support.microsoft.com/kb/929135']здесь[/URL].
[b]regist[/b],
Отключил все что можно, результат тот же
Может с видеокартой что?
если в msconfig поставить галочку диагностический запуск, то нормально грузится?
[QUOTE=regist;1076979]если в msconfig поставить галочку диагностический запуск, то нормально грузится?[/QUOTE]
нет, такой же черный экран
[URL="http://imglink.ru/show-image.php?id=c9d6b42bb12006af44b89d59ab484583"]http://imglink.ru/show-image.php?id=c9d6b42bb12006af44b89d59ab484583[/URL]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
И вот еще что, при смене пользователя в безопасном режиме выскакивает такое окно
[URL="http://imglink.ru/show-image.php?id=86a41e9dd0cdaa10616eb70384296b18"]http://imglink.ru/show-image.php?id=86a41e9dd0cdaa10616eb70384296b18[/URL]
Что это может быть?
[quote="Virus_Info_63;1077016"]И вот еще что, при смене пользователя в безопасном режиме выскакивает такое окно[/quote]
[URL="http://virusinfo.info/showthread.php?t=121254"]Как избавиться от окна с иероглифами перед входом в Windows XP[/URL]
а вообще эта тема наглядный пример почему не надо пользоваться сборками windows ;)
[QUOTE]Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 12:32:50, on 05.01.2014
Platform: Windows XP SP6 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180)[/QUOTE]
[QUOTE=regist;1077033]
а вообще эта тема наглядный пример почему не надо пользоваться сборками windows ;)[/QUOTE]
Так вы что посоветуете? Как откатить на SP3?
[URL="http://virusinfo.info/showthread.php?t=122524"]Сделайте лог MiniToolBox[/URL]
+ выше дал ссылку на рекомендацию для избавления от крякозябр, которые выскакивают при переключение пользователей.
[QUOTE=regist;1077037]
+ выше дал ссылку на рекомендацию для избавления от крякозябр, которые выскакивают при переключение пользователей.[/QUOTE]
Уже сделал, движемся дальше.
Спасибо что не оставляете в беде.
[B]+[/B]
В AVZ выполните скрипт:
[code]
var WinlogonReg: TStrings;
procedure Calc(Name: String);
var S: String;
var J: String;
begin
S:= '%windir%\system32\' + Name;
J:= '%windir%\' + Name;
AddToLog(S + ' ==> MD5 = ' + CalkFileMD5(S));
AddToLog(J + ' ==> MD5 = ' + CalkFileMD5(J));
end;
begin
clearlog;
WinlogonReg := TStringList.Create;
ExpRegKeyEx('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon',WinlogonReg);
AddToLog(WinlogonReg.Text);
SaveLog(GetAVZDirectory + 'WinlogonReg.log');
WinlogonReg.Free;
clearlog;
calc('explorer.exe');
calc('userinit.exe');
calc('winlogon.exe');
SaveLog(GetAVZDirectory + 'md5.log');
end.
[/code]
Файл [B]WinlogonReg.log[/B] и [B]md5.log[/B] из папки с AVZ прикрепите к сообщению.
Файлы не загружаются. Высылаю в карантин, Archive.zip
[quote="regist;1077037"]Сделайте лог MiniToolBox[/quote]
жду .