Прошу помощи

Printable View

18.11.2009, 17:13
Snowter

Прошу помощи

Здравствуйте, проблема у меня такая уже была (она тут [url]http://virusinfo.info/showthread.php?t=58962[/url] )
только на этот раз всё гораздо хуже, проверка утилитой DrWeb заканчивалась в основном синим экраном с ошибкой о каком то damp'е,
сначало синий экран "вылез" в конце проверки локального диска "D" когда проверялась папка System Volume Information (вроде так:)), затем я перепроверил заново, и синий экран в этот раз "вылез" в локальном диске "C"
помогите пожалуйста...
18.11.2009, 17:16
Snowter

и ещё когда по 1 пункту диагностики проверялся только диск C, хотя зараза имеется и в диске D....
18.11.2009, 17:21
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('PowerManager');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=60604[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Рекомендуется установить SP3 и последующие обновления.
18.11.2009, 17:41
Snowter

пофиксил,
скрипт выполнил,
карантин загрузил

Файл сохранён как 091118_173544_virus_4b04064095f0e.zip
Размер файла 576
MD5 10f7c78d24b7997bf076c76489d4e1dd

новые логи
18.11.2009, 17:46
Bratez

В логах чисто.
Обновляйте систему, и будет вам счастье! ;)
18.11.2009, 17:49
Snowter

а что делать с диском D на нём факт остались заражённые ехе'шники,
если заново проверится DrWeb'ом синего экрана не будет? :)
18.11.2009, 17:53
Bratez

[QUOTE='Snowter;511499']остались заражённые ехе'шники[/QUOTE]
В логах их не видно.

Сделайте диску D сначала проверку файловой системы штатным Chkdsk'ом, потом уже проверяйте CureIt'ом.
18.11.2009, 19:54
Snowter

Сделайте диску D сначала проверку файловой системы штатным Chkdsk'ом
извините, но как сделать? :)

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

и вот ещё что, я изменяю размер окна папки как мне удобно, но после закрытия окна и последующего открытия, они остаются не так как я их изменил в чём может быть эта проблема?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 48 минут[/I][/B][/color][/size]

сделал проверку Chkdsk'ом, затем выполнил полную проверку Кюреитом всё равно синий экран, что посоветуете?

и вот ещё вопрос могу ли я удалить папку System Volume Information с локального диска "D"?
19.11.2009, 03:26
Bratez

[QUOTE='Snowter;511506']сделал проверку Chkdsk'ом[/QUOTE]
Поиск сбойных секторов включали?

[QUOTE='Snowter;511506']всё равно синий экран[/QUOTE]
Какой код "синего экрана"?

[QUOTE='Snowter;511506']могу ли я удалить папку System Volume Information [/QUOTE]
System Volume Information - это папка для хранения точек восстановления системы. Удалить ее полностью можно только на дисках c FAT, если у вас NTFS, то она во-первых не дается, а во-вторых, даже если вы отберете себе права и удалите ее, она все равно создастся снова.
19.11.2009, 07:05
Snowter

Поиск сбойных секторов включали?

а как включать? я Chkdsk включил из папки system32 вылезло Dos окно и прошло каких то 3 этапа выбрать ничего нельзя было, я наверно не так сделал)

Какой код "синего экрана"?

сейчас ещё раз проверю Кюреитом и пришлю скрин....
19.11.2009, 08:13
Snowter

System Volume Information - это папка для хранения точек восстановления системы.
но диск "D" я не использую для системы, система в "C", WinRAR видит эту папку могу ли я удалить её? система у меня всех жёстких дисков NTFS....

вот скрин синего экрана извините за плохое качество :) скрин делал на мобильный телефон
19.11.2009, 15:44
Snowter

сегодня скачал по новой Кюреит но что то не то с ним, на скрине видно
19.11.2009, 15:46
Snowter

и вот ещё что решил проверить компьютер AVZ все диски, но комп завис при проверке C:/windows/inf такой раздел вроде...интересно почему же он завис ...
19.11.2009, 15:56
Bratez

[QUOTE='Snowter;511881']а как включать? я Chkdsk включил из папки system32 вылезло Dos окно и прошло каких то 3 этапа выбрать ничего нельзя было, я наверно не так сделал)[/QUOTE]
Не так.
Открываем в [I]Моем компьютере [/I]Свойства диска, вкладку [I]Сервис[/I], жмем кнопку [I]Выполнить проверку[/I], ставим обе галки, жмем [I]Запуск[/I]. Будет предложено запланировать проверку на следующую перезагрузку. Соглашаемся, перезагружаемся и ждем окончания проверки.
Сделайте это, по результатам будем дальше смотреть.

[size="1"][color="#666686"][B][I]Добавлено через 52 секунды[/I][/B][/color][/size]

[QUOTE='Snowter;511903']но диск "D" я не использую для системы, система в "C", [/QUOTE]
Это не имеет значения. Такая папка создается на всех локальных дисках.
19.11.2009, 16:52
Snowter

выполнил такую проверку, но не было ни какого предложения о проверке после перезагрузки, проверка началась сразу и прошло 5 этапов.... дальше что? или мож такую же проверку сделать и для диска "C"?
19.11.2009, 17:51
Bratez

[QUOTE='Snowter;512252']мож такую же проверку сделать и для диска "C"[/QUOTE]
Таки да, сделайте ;)
19.11.2009, 18:52
Snowter

как сделаю отпишу :)

[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]

сделал проверку диска "C" был предложен запуск проверки после перезагрузки так же прошло 5 этапов.....
20.11.2009, 11:30
Snowter

Дальше что?
20.11.2009, 15:15
Bratez

Ошибки и/или сбойные сектора были найдены или нет?
20.11.2009, 21:36
Snowter

после окончания проверки компьютер перезагрузился

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 8 минут[/I][/B][/color][/size]

может логи по новой? так как при проверке DrWeb'ом всё равно вылетает в синий экран...
20.11.2009, 22:37
pig

Минидамп сюда прикрепите (в архиве, лучше 7z).
Или лучше даже сразу сюда: [url]http://forum.drweb.com/index.php?showforum=2[/url] - ближе к разработчикам.
21.11.2009, 05:54
Snowter

минидамп, это тот скрин синего экрана?
21.11.2009, 18:33
Snowter

откуда его всё таки прикрепить?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

и где его искать?
21.11.2009, 18:52
pig

[url=http://wiki.drweb.com/index.php/%D0%95%D1%81%D0%BB%D0%B8_%D1%83_%D0%B2%D0%B0%D1%81_%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81#.D0.95.D1.81.D0.BB.D0.B8_.D0.B2_.D0.BF.D1.80.D0.BE.D1.86.D0.B5.D1.81.D1.81.D0.B5_.D1.80.D0.B0.D0.B1.D0.BE.D1.82.D1.8B_.D0.BA.D0.BE.D0.BC.D0.BF.D1.8C.D1.8E.D1.82.D0.B5.D1.80_.D1.81.D0.B0.D0.BC.D0.BE.D1.81.D1.82.D0.BE.D1.8F.D1.82.D0.B5.D0.BB.D1.8C.D0.BD.D0.BE_.D0.BF.D0.B5.D1.80.D0.B5.D0.B7.D0.B0.D0.B3.D1.80.D1.83.D0.B6.D0.B0.D0.B5.D1.82.D1.81.D1.8F]О синем экране и дампах[/url]
Короче, минидамп ищите здесь: C:\WINDOWS\Minidump\
22.11.2009, 00:50
Snowter

ясно, недавно проверил ещё раз CureIt'ом и проверилось всё норм без синих экранов, минидамп ещё не выкладывал " [url]http://forum.drweb.com/index.php?showforum=2[/url] - ближе к разработчикам."
щас буду вылаживать, тут выложить?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 27 минут[/I][/B][/color][/size]

[QUOTE=Snowter;513778]недавно проверил ещё раз CureIt'ом и проверилось всё норм....[/QUOTE]

КюреИт не нашол ничего зловредного, мож ещё раз логи по правилам? :)
проверимся на всякий и офф тему....
22.11.2009, 20:19
Snowter

ну так что?
23.11.2009, 20:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]