Биг проблем. Курейт не стартует. Винда в безопасный режим не грузит.

**Aleksandra** · 19.07.2009, 21:19

М да... Проблема в том, что машина заражена одновременно несколькими вирусами. Можно написать скрипт на удаление червя, но при активном файловом вирусе это далеко не лучшее решение. Единственное, что в данном случае я могу посоветовать - использовать Live CD. Тема http://virusinfo.info/showthread.php?t=50188 п.1. Внимательно все прочитайте и выполните! Небольшие уточнения: iso-образ нужно записать на диск как образ, при сканировании не нужно пугаться черного экрана (это режим энергосбережения, можно нажать любую клавишу), окончанием проверки служит выход в главное меню Live CD, после окончания сканирования приложите лог работы Live CD. Вроде все! Если что не понятно можно и нужно спрашивать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**fidan** · 19.07.2009, 21:43

Неужели все так запущено

Я уже пытался запускать лайв сд. ни один из ( реаниматор лайв сд, курейт лайв сд) не запустился. Даже винду не удается переустановить...... Будем пробовать..... Но что то сомнения гложут что ВБА запуститься. Хотя попытка не пытка.

**Aleksandra** · 19.07.2009, 22:03

Сообщение от fidan

Неужели все так запущено

К сожалению, да. Можно сделать такой вывод, посмотрев логи сканера VBA32. Но Ваш случай далеко не безнадежный.

Сообщение от fidan

Будем пробовать..... Но что то сомнения гложут что ВБА запуститься. Хотя попытка не пытка.

Попробуйте! Я думаю, у Вас все получится.

**fidan** · 19.07.2009, 22:18

ВБА лайв не стартует!

**Aleksandra** · 20.07.2009, 01:39

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\pagefile.pif','');
 QuarantineFile('C:\WINDOWS\system32\8F00B2\1D8CD9.EXE','');
 QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
 QuarantineFile('c:\windows\system32\com\smss.exe','');
 TerminateProcessByName('c:\windows\system32\com\smss.exe');
 QuarantineFile('c:\windows\system32\com\lsass.exe','');
 TerminateProcessByName('c:\windows\system32\com\lsass.exe');
 DeleteFile('c:\windows\system32\com\lsass.exe');
 DeleteFile('c:\windows\system32\com\smss.exe');
 DeleteFile('C:\WINDOWS\system32\dnsq.dll');
 DeleteFile('C:\WINDOWS\system32\dnsq.bak');
 DeleteFile('C:\WINDOWS\system32\8F00B2\1D8CD9.EXE');
 DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
 DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
 DeleteFileMask('c:\', 'lsass.exe.*', false);
 DeleteFile('C:\pagefile.pif');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\037589.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=50186

3. Повторите логи + приложите файл boot_clr.log.

Добавлено через 2 часа 4 минуты

Ответ разработчиков по Вашей теме http://virusinfo.info/showpost.php?p...1&postcount=12

Все это справедливо только для beta-версии Live CD!

Сообщение от sergey ulasen

+ Добавилась возможность создания загрузочного флеш-носителя из-под Windows

Для этого необходимо скачать архив:

ftp://anti-virus.by/pub/vbarescue_wintools.rar

ftp://vba.ok.by/vba/vbarescue_wintools.rar

1. Необходимо распаковать архив vbarescue_wintools.rar в отдельную папку;
2. Скопировать в папку vbarescue_wintools iso-образ vbarescue-beta.iso;
3. Запустить bat-файл runme.bat и следовать получаемым инструкциям.

ВНИМАНИЕ!!! Данные инструкции по записи удалят данные с флеш-носителя. Не забудьте скопировать информацию с флеш на другой носитель.

В любом случае, нужно попробовать создать загрузочную флэшку и отписаться о результатах. Спасибо.

**fidan** · 21.07.2009, 23:04

Скрипт выполнен. После перегруза стали работать АВЗ простой и Хайджек. Логи ниже. Карантин загружен. Где я могу найти лог boot_clr.log?

**Aleksandra** · 21.07.2009, 23:59

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 DeleteService('NetApi000');
 DeleteService('abp470n5');
 DeleteFile('C:\WINDOWS\system32\drivers\hllhtn.sys');
 DeleteFile('C:\NetApi000.sys');
 DeleteFile('C:\WINDOWS\system32\dnsq.dll');
 DeleteFile('C:\WINDOWS\system32\killVBS.vbs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Пофиксите в HijackThis:

O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Сообщение от fidan

Где я могу найти лог boot_clr.log?

В папке с AVZ.

**fidan** · 22.07.2009, 00:04

boot_clr.log такого лога нет в папке авз. Может он скрытый?
скрипт выполнен, строку O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll -не нашёл.
Логи ниже.

**Aleksandra** · 22.07.2009, 00:08

Хорошо искали? Если все же нет, то выполняйте скрипт и повторяйте логи.

Загрузочную флэшку получилось сделать?

**fidan** · 22.07.2009, 00:16

Искал хорошо. Логи выше. До загрузочной флешки руки еще не дошли. Безопасный режим по прежнему отказывается грузится. Синий экран смерти до сих пор.

Загрузочную флешку сделал однако не грузится. На другой здоровой машине (где и делалась загр флешка) удалось загрузиться с флешки.

**Aleksandra** · 22.07.2009, 00:49

Пол дела сделали! Теперь нужно просканировать машину с помощью VBA32 еще раз. Лучше сделать загрузочную флэшку, но если такой возможности нет, то запускайте сканер с болванки. Даю ссылку на пост http://virusinfo.info/showpost.php?p=433671&postcount=3 После окончания сканирования приложите отчеты.

Добавлено через 19 минут

Сообщение от fidan

Загрузочную флешку сделал однако не грузится. На другой здоровой машине (где и делалась загр флешка) удалось загрузиться с флешки.

Хорошо. Отрицательный результат - тоже результат! Теперь хоть знаем в чем причина. Ядро не поддерживает железо. Я передам эту информацию разработчикам. Спасибо.

Обязательно просканируйте машину сканером записанным на болванку.

**fidan** · 22.07.2009, 10:04

Просканирован ВБА. ЛОГ ниже.

**Aleksandra** · 22.07.2009, 20:40

Вроде все!

Удалите папки и все их содержимое:

C:\!result
C:\Documents and Settings\Admin\DoctorWeb\Quarantine

Там карантин и логи. Это уже не нужно.

Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится. Проверьте безопасный режим.
Какие-то проблемы ещё наблюдаются?

Для контроля еще раз сделайте лог virusinfo_syscheck.

**fidan** · 23.07.2009, 11:13

Скрипты выполнены. Безопасный режим заработал. ВБА лайв СД не запустился. ВБА Бета лайв сд - тот же результат

. Некоторые экзешники (проги) перестали работать. СС клинер, винамп. Не работают редактор реестра, управление, дисп устройств.

**Синауридзе Александр** · 23.07.2009, 11:19

Сообщение от Aleksandra

Для контроля еще раз сделайте лог virusinfo_syscheck.

Выполните!

**Aleksandra** · 23.07.2009, 12:17

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\drivers\hllhtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.

Добавлено через 9 минут

Можно сказать, что мы победили!

Сообщение от fidan

ВБА лайв СД не запустился. ВБА Бета лайв сд - тот же результат

.

Это Вам нужно обсудить с разработчиками.

Сообщение от fidan

Некоторые экзешники (проги) перестали работать. СС клинер, винамп.

Их попортил вирус. Деинсталлируйте эти программы и после установите по новой. Другого варианта к сожалению нет.

Сообщение от fidan

Не работают редактор реестра, управление, дисп устройств.

Проверьте после выполнения скрипта все ли работает.

Также рекомендую проверить целостность системных файлов через Пуск -> Выполнить cmd -> sfc/ scannow

**fidan** · 23.07.2009, 12:22

Проблема с загрузкой ВБА лайв СД бета решена.

**sergey ulasen** · 23.07.2009, 13:01

Сообщение от fidan

Проблема с загрузкой ВБА лайв СД бета решена.

После успешного сотрудничества была выяснена причина проблем с загрузкой с CD носителя: поздно определяется CD/DVD-ROM (подробности решения проблемы).
Такая проблема не возникает при загрузке с флешки. В данном случае ноутбук не смог начать загрузку с флеш-носителя из-за проблем с BIOS (требовалось немножко с ним поколдовать).

**fidan** · 23.07.2009, 16:55

Скрипт выполнен. Дисп устройств, управление по прежнему не рабочие.
Лог ниже.

**Aleksandra** · 24.07.2009, 11:21

Выполните скрипт:

Код:

begin
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

Проверьте что с проблемами.

Биг проблем. Курейт не стартует. Винда в безопасный режим не грузит. (заявка № 50186)

Опции темы

Похожие темы

заблокирован безопасный режим и не прогружается винда (заявка №76062)

отключен безопасный режим, тормозит при загрузке, переодические вылеты программотключен безопасный режим, тормозит при загрузке, переодические вылеты программ

не устанавливаются программы, не дает создавать сетевые подключения, и не грузит безопасный режим

не устанавливаются программы, не дает создавать сетевые подключения, и не грузит безопасный режим

Безопасный режим

Метки для этой темы

Ваши права в разделе