Windows не грузилась ни в обычном, ни в безопасном режиме.

Printable View

28.08.2008, 18:00
StepIn

Windows не грузилась ни в обычном, ни в безопасном режиме.

Было много троянов и авторан вирусы, Windows не грузилась ни в обычном, ни в безопасном режиме. Шла перезагрузка. Полечил Док. Вебом, система стартует.
Посмотрите, пожалуйста логи, что-то еще наверняка осталось.
28.08.2008, 18:32
Rene-gad

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не выключено системное восстановление.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]

И еще: обьясните, для кого/чего у Вас работает Акронис, создавая образ зараженной системы?:O

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\Winty16.sys
C:\WINDOWS\System32\Drivers\Jos16.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('3bf041ef');
DeleteService('jos16');
DeleteService('tcpsr');
DeleteService('Winty16');
DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}');
QuarantineFile('C:\WINDOWS\System32\drivers\3bf041ef.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jos16.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\\soundmgr.exe','');
QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winty16.sys',''); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe',''); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos16.sys');
DeleteFile('C:\WINDOWS\System32\drivers\3bf041ef.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('3bf041ef');
BC_DeleteSvc('jos16');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Winty16');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
28.08.2008, 21:25
StepIn

Забыл посмотреть и отключить системное восстанвление. Спасибо за напоминание!
Акронис не работает, он просто установлен. Никаких образов по расписанию, или как-то иначе, он не делает. А почему вы заговорили об Акронисе? Есть потенциальная опасность?
С помощью IceSword нашел только файл Winty16.sys. Скопировал его, но потом не нашел. Поэтому карантин не высылаю с этим файлом не высылаю.
Скрипт выполнил, очистил папки. Вот новые логи.
28.08.2008, 21:27
StepIn

Добавлю:
С помощью IceSword нашел только файл Winty16.sys. Скопировал его, но потом не нашел. Возможно он в этом карантине. Высылаю карантин.
28.08.2008, 22:16
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe','');
DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\TEMP\\soundmgr.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe','');
DeleteService('Winty16');
DeleteService('tcpsr');
DeleteService('jos16');
DeleteService('Google Online Services');
QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos16.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DelCLSID('28abc5c0-4fcb-11cf-aax5-81cx1c635612');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ......
28.08.2008, 23:35
StepIn

Скрипт выполнил. Но новых файлов в карантине не прибавилось. Высылаю старый карантин.
И новые логии.
28.08.2008, 23:40
V_Bond

Windows XP SP1 - жуть .... мы тут никогда не победим ....
отключитесь от интернета и выполните рекомендации из поста 5 заново ....
повторите логи ...
28.08.2008, 23:50
StepIn

Да, принесли комп с Windows XP SP1, думал вылечу и поставлю SP3. Ведь ставить SP3 на грязный комп, не совсем правильно?
От интернета комп отключен с начала лечения.
>>> выполните рекомендации из поста 5 заново
Т. е. снова запустить ваш последний скрипт от 21:16?
29.08.2008, 00:01
V_Bond

пролечитесь AVPTool ссылка в подписи Rene-gad , а затем скрипт ...
29.08.2008, 21:51
StepIn

Полечил AvpTool. Скрипт выполнил. Высылаю карантин.
И новые логи.
29.08.2008, 22:15
Rene-gad

Коллега V_Bond был прав: через такую систему вермишель хорошо отбрасывать (С).

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}');
QuarantineFile('C:\WINDOWS\system32\axpm812.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\wt\webdriver\4.1.1\webdriver.dll','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\TEMP\\soundmgr.exe','');
QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winty16.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\3bf041ef.sys','');´
DeleteService('Winty16');
DeleteService('3bf041ef');
DeleteService('ssdpsrvsysmonlog');
DeleteService('Google Online Services');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\axpm812.exe');
DeleteFile('C:\WINDOWS\System32\drivers\3bf041ef.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DeleteFile('C:\WINDOWS\wt\webdriver\4.1.1\webdriver.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winty16');
BC_DeleteSvc('3bf041ef');
BC_DeleteSvc('ssdpsrvsysmonlog');
BC_DeleteSvc('Google Online Services');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
29.08.2008, 22:59
StepIn

Скрипт выполнил. Вот новые логи.
29.08.2008, 23:04
V_Bond

выполнить стандартный скрипт 6
выполните скрипт ...
[code]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}');
DeleteService('Google Online Services');
DeleteService('jos16');
DeleteService('Winty16');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos16.sys');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DelCLSID('28abc5c0-4fcb-11cf-aax5-81cx1c635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
29.08.2008, 23:28
StepIn

Скрипты выполнил. Вот новые логи.
29.08.2008, 23:35
V_Bond

давайте попробуем выполнить(пост 13) скрипт в AvpTool (перейти в ручное лечение) ....
затем сделайте лог AvpTool
30.08.2008, 00:01
StepIn

Выполнил второй (больший) скрипт из поста 13. Высылаю 2 лога AvpTool до и после выполнения скрипта.
30.08.2008, 15:54
StepIn

Как последние логи AVP? Что же делать? Как от этого избавиться? Может попробовать установить сейчас SP3? Или переустанавливать систему?
30.08.2008, 16:09
StepIn

На всякий случай выкладываю новые логи после скрипта выполненного в AvpTool.
30.08.2008, 16:25
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe','');
QuarantineFile('C:\WINDOWS\wt\updater\SmallUpdater.exe','');
DeleteFile('C:\WINDOWS\wt\updater\SmallUpdater.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
30.08.2008, 17:35
StepIn

Скрипт выполнил, очистил. Карантин пуст.
Вот новые логи.
30.08.2008, 17:56
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DelCLSID('{28abc5c0-4fcb-11cf-aax5-81cx1c635612}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи с п.10 правил.
30.08.2008, 18:18
StepIn

Скрипт выполнил. Вот новые логи.
30.08.2008, 19:57
V_Bond

авз - сервис - Active Setup удалить c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\wdfmgr.exe','');
DeleteService('ssdpsrvsysmonlog');
QuarantineFile('C:\WINDOWS\system32\axpm812.exe','');
DeleteService('Google Online Services');
QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\axpm812.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DelCLSID('{28abc5c0-4fcb-11cf-aax5-81cx1c635612}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
30.08.2008, 20:56
StepIn

winhelp.exe удалил, скрипт выполнил, карантин пуст. Вот новые логи.
30.08.2008, 22:01
V_Bond

пуск выполнить
sc delete Google Online Services
sc delete Служба обнаружения SSDP SSDPSRVSysmonLog
не вижу вашего карантина .....
virusinfo_syscheck.zip повторите ...
30.08.2008, 22:32
StepIn

Google Online Services не удаляется, ошибка. Служба обнаружения SSDP SSDPSRVSysmonLog удалилась.
В карантин ничего не попало.
Вот новый лог.
31.08.2008, 10:48
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\wdfmgr.exe','');
DeleteService('Google Online Services');
SetServiceStart('Google Online Services', 4);
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
BC_DeleteSvc('Google Online Services');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
virusinfo_syscheck.zip повторите ...
01.09.2008, 14:09
StepIn

Cкрипт выполнил, карантин пуст. Google Online Services не удалился. Выполнил скрипт в безопасном режиме. Карантин есть! Google Online Services не удалился!
Вот новый лог.
01.09.2008, 14:14
V_Bond

Google Online Services удалился ...
wdfmgr.exe - пришлите согласно приложения 2 правил ...
01.09.2008, 14:25
StepIn

Конечно же, Google Online Services удалился! Это просто не удалил «не».
Карантин выслал.
01.09.2008, 14:29
V_Bond

авз говорит что файла нет на диске ...
какие -то проблемы остались ?
01.09.2008, 14:34
StepIn

Пока все хорошо, ничего плохого не замечаю. Выслать новые все три лога на всякий случай, или можно сазу ставить СП3?
01.09.2008, 14:35
V_Bond

ставте сп3 ...
01.09.2008, 15:02
Rene-gad

[QUOTE=V_Bond;277775]ставте сп3 ...[/QUOTE]После установки возможно потребуется активация системы.
01.09.2008, 22:02
StepIn

Установил SP3. Пока все хорошо, особых проблем нет. Посмотрите логи после установки SP3.
01.09.2008, 22:10
V_Bond

ничего плохого ...
01.09.2008, 22:22
StepIn

Огромное спасибо за помощь V_Bond, а так же Rene-gad и всей команде Virusinfo.info!!!
Без вашей помощи лечение было бы долгим, и часто заканчивалось бы переустановкой Windows. Спасибо за ваше внимание, терпение и профессионализм!

Уважаемый Rene-gad, почему вы часто говорите об Акронисе? Есть потенциальная опасность?