-
Junior Member
- Вес репутации
- 55
Система серьёзно пострадала. Причина неясна.
Толи вирь, толи глюк, толи винт сыплется.
Предыстория:
После стандартной перезагрузки - вдруг синий экран. Минидамп не создаваётся. Хотя в настройках стояло "Создать минидамп и перезагрузиться".
Безопасный режим - аналогично.
Подцепил второй винт, стал грузиться с него. Его винда, увидев первый винт, запустила chkdsk, который выдал "Проверка дескрипторов безопасности" - "Дескрипторы безопасности повреждены. Замена на стандартные".
После чего стало возможно загружаться с первого винта.
Картина маслом:
Win XP SP3
грузится долго
строка Пуск не видна, каждый раз вытаскиваю с бубном. Открытые окна и программы в ней не отображаются; панель Быстрый запуск отключена, при включении - её значки (30 шт) занимают всю строку до трея.
IE не запускается
В журнале событий - многократная ошибка: Источник-Userenv Событие-1500 Пользователь-Network service
В Диспетчере задач колонка Имя пользователя и закладка Пользователи - пустые.
Окно управления учётными записями пользователей абсолютно пустое.
Восстановление системы не работает ("Восстановлению системы не удается защитить компьютер. Перезагрузите компьютер и повторно запустите восстановление системы")
Программы, использующие .NET выдают ошибку и не запускаются.
Антивирь ESET ESS4 как будто в порядке.
virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
Вопрос:
Как восстановить работоспособность системы?
Есть ли смысл пытаться вытащить старые версии реестра из SystemRestorePoints?
Последний раз редактировалось Gladman; 28.09.2012 в 09:42.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Gladman, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Код:
C:\Program Files\encfs4win
C:\WINDOWS\winstart.bat
- Ваше?
Сообщение от
Gladman
Есть ли смысл пытаться вытащить старые версии реестра из SystemRestorePoints?
Попробуйте, но сохраните нынешние.
-
-
Junior Member
- Вес репутации
- 55
encfs4win - моё, ставил для dropbox
winstart.bat - не помню. Файл пустой, размер 2 байта.
p.s. update по симптомам:
звук частично не работает:
В Панели управления - Звуки и аудиоустройства - "Аудиоустройства отсутствуют"
На youtube звука нет.
Но в игрушке Plants vs Zombie звук есть.
В диспетчере устройств окно свойств любого устройства не открывается в принципе.
Половина служб с типом запуска "Авто" не запущена, вручную не запускаются, окно свойств любой службы также не открывается.
Последний раз редактировалось Gladman; 29.09.2012 в 17:06.
-
Junior Member
- Вес репутации
- 55
отсутствие ответов более суток удручает. Ау.
-
1. sfc /scannow
2. тестирование дисков на наличие сбойных кластеров.
Малваре в логах не видно, поэтому и ответов в теме не было.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
1. Защита файлов Windows не смогла запустить сканирование защищенных системных файлов.
Код ошибки: 0x000006ba [Сервер RPC недоступен.].
2. В процессе ... (Павел, посоветовал бы конкретный софт. Или простым CHKDSK?)
-
Сообщение от
Gladman
winstart.bat
удалите его, от вируса хвосты ...
- - - Добавлено - - -
Сообщение от
Gladman
2. В процессе ... (Павел, посоветовал бы конкретный софт. Или простым CHKDSK?)
для начала можно им, потом викторией, mhdd
-
-
Была такая-же проблема ( Код ошибки : 0x000006ba [Сервер RPC недоступен . ] ) - решил так:
загружаем Windows в безопасном режиме (или с life cd ),
копируем с рабочей ОС - донора файлы:
WINDOWS\explorer.exe
WINDOWS\system32\hsfcisp2.dll
WINDOWS\system32\hsfcxts2.sys
WINDOWS\system32\sfc.dll
WINDOWS\system32\sfc.exe
WINDOWS\system32\sfc_os.dll
WINDOWS\system32\sfcfiles.dll
WINDOWS\system32\svchost.exe
WINDOWS\system32\user32.dll
и заменяем файлы на поврежденной ОС.
P.S. Вероятно вирус (или "кривой софт") повредил какой-то из этих файлов или несколько, это и привело к ошибке.
Удачи!
вот примерное решение проблемы. Лог Combofix не помешал бы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
* winstart.bat - удалил. Оказывается с 2010г валялся.
* Винт проверил через CHKDSK, посмотрел S.M.A.R.T., проверил Victoria - всё OK.
*
Сообщение от
PavelA
копируем с рабочей ОС - донора файлы:
сверил файлы - один в один.
* Задумался над
Сообщение от
Gladman
В журнале событий - многократная ошибка: Источник-Userenv Событие-1500 Пользователь-Network service
(напомню, свойства-описание ошибки не открывается)
Загуглил. Нашёл
Источник события: Userenv
Код события: 1500
Пользователь: NT AUTHORITY\NETWORK SERVICE
Windows не удалось выполнить ваш вход в систему, поскольку не удалось загрузить ваш профиль. Проверьте наличие подключения к сети и что сеть правильно работает. Если проблема не устраняется, обратитесь к системному администратору.
Подробно - Отказано в доступе.
Варианты:
нет разрешений NTFS на папку/файл профиля;
какая-то программа блокирует доступ.
Вспомнил про
Сообщение от
Gladman
винда запустила chkdsk, который выдал "Дескрипторы безопасности повреждены. Замена на стандартные".
Открыл Свойства-Безопасность моего диска c:\ и диска c:\ с похожей системы.
Так и есть: на моём диске права только у системы и админов "только для этой папки", а на том - полные права на папку, подпапки и файлы - у системы и админов, плюс прописаны кое-какие права у остальных пользователей. Заменил куцые права на своём диске на расширенные, перезагрузил - всё работает как часы!
p.s.
заработал и bluescreenview - показывает такой вот отчёт об ошибке, из-за которой всё и началось:
Mini092812-01.dmp 28.09.2012 12:19:00 SYSTEM_SCAN_AT_RAISED_IRQL_CAUGHT_IMPROPER_DRIVER_ UNLOAD 0x100000d4 0xa77314d0 0x00000002 0x00000000 0x805339d1 ntoskrnl.exe ntoskrnl.exe+5c9d1 Системный модуль ядра NT Операционная система Microsoft® Windows® Корпорация Майкрософт 5.1.2600.6223 (xpsp_sp3_qfe.120504-1617) 32-бит C:\WINDOWS\Minidump\Mini092812-01.dmp 1 15 2600
пошёл гуглить дальше...
upd:
что-то нифига не нагуглил. Вернее не понял: http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx
Последний раз редактировалось Gladman; 03.10.2012 в 17:38.
-
Сообщение от
Gladman
сверил файлы - один в один.
по размеру, по дате, или MD5?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Лог Combofix не помешал бы.
как сделайть лог ComboFix
-
-
Junior Member
- Вес репутации
- 55
по размеру, по дате, или MD5?
по размеру и по дате.
Лог Combofix ComboFix.txt
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\windows\system32\drivers\tcpip.sys','');
QuarantineFile('c:\windows\system32\comres.dll','');
QuarantineFile('c:\windows\system32\user32.dll','');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\regedit.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('c:\windows\system32\SfcFiles.dll','');
QuarantineFile('c:\windows\system32\midimap.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- - - Добавлено - - -
+ советую сравнить эти файлы по md5 с донорской системой (или лучше заменить с дитрибутива windous).
http://virusinfo.info/showthread.php?t=51654
-
-
Junior Member
- Вес репутации
- 55
загружено
Результат загрузки
Файл сохранён как 121004_150817_quarantine_506da66134cd1.zip
Размер файла 6172341
MD5 12b011c2e5056dc74c11d41a7a253ca4
Файл закачан, спасибо!
-
в карантине всё чистое ....
попробуйте ещё раз сделать sfc /scannow
-
-
В логе Комбо видел директорию вроде бы от chkdsk. Думается, надо проверить еще разок chkdsk, а затем сам диск mhdd.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
regist
файлы проверил - md5 совпадает с донором/дистрибутом.
Сообщение от
regist
в карантине всё чистое ....
попробуйте ещё раз сделать sfc /scannow
Сообщение от
PavelA
В логе Комбо видел директорию вроде бы от chkdsk. Думается, надо проверить еще разок chkdsk, а затем сам диск mhdd.
Ребят, я вас перестал понимать с момента моего ответа, что всё заработало как раньше.
Зачем ещё раз sfc /scannow, chkdsk и mhdd? Если по моим ощущениям, всё встало на места и единственное, что непонятно - причина первоначального BSOD.
-
Сообщение от
Gladman
единственное, что непонятно - причина первоначального BSOD.
Ваш первоначальный BSOD м.б. связан со сбоями на жестком диске.
http://virusinfo.info/showthread.php...l=1#post928024 -- Это Ваш ответ. От том, что все заработало после него слов ни разу не было.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Ваш первоначальный BSOD м.б. связан со сбоями на жестком диске.
+1 об этом говорит
Сообщение от
Gladman
Подцепил второй винт, стал грузиться с него. Его винда, увидев первый винт, запустила chkdsk, который выдал "Проверка дескрипторов безопасности" - "Дескрипторы безопасности повреждены. Замена на стандартные".
После чего стало возможно загружаться с первого винта.
насчёт остального у вас похоже какая-то сборка, по крайней мере файлы которые я забирал в карантин отличаются от стандартных, вот поэтому и просил всё остальное ...
+ если предыдущая проверка sfc /scannow не была проведена до конца, то просто для профилактики не помешает новая (файлы могли побиться во время того же сбоя винчестера).
-