Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Если коротко - пропал рабочий стол. (заявка № 32714)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37

    Question Если коротко - пропал рабочий стол.

    Работал в Интернете, вдруг выругался Firewall Outpost, компьютер перегрузился до момента появления Рабочего стола и появилась какая-то ошибка связанная с svchost.exe. И усё. Я перегрузил комп, он загрузился до меню выбора пользователей, после успешного выбора одного из пользователей комп попытался загрузится. Загрузился до момента появления Рабочего стола и встал. Нет ни рабочего стола, ни кнопочки Пуск. Пуск на нажатие клавиш Ctrl+Esc не отвечает. В Безопасный режим и того круче, как только доходит до момента появления Рабочего стола, загрузка останавливается, а вернее процессор загружается на все 100% и пытается выполнить что-то.
    Удаётся только загрузится в Безопасном режиме с поддержкой коммандной строки, без Рабочего стола.
    Сейчас запустил из под коммандной строки Curiet (от DrWeb-а).
    Помогите пожалуйста, у меня уже нервы сдают. На компе столько информации по работе, что месяц восстанавливать всё придётся.
    ОС Windows XP SP2

    Добавлено через 35 минут

    Ответьте пожалуйста кто-нибудь!
    Последний раз редактировалось Adrian; 25.10.2008 в 20:32. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Чем реально мы можем Вам помочь, не видя логов и не зная ничего о Вашем ПК?

  4. #3
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    Вот в этом и вопрос! А как логи сделать если ничего не могу запустить. Сейчас вечерок помучаюсь, если получится запустить AVZ вышлю логи. Если нет, наверное поможет только переустановка винды. Очень не хотелось бы это делать...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Информацию можно спасти, прицепив HDD к другому компьютеру. Кстати с него можно запустить проверку Антивирусом Касперского (т.к. Dr. Web не помог).

  6. #5
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    Вопрос. А можно подключится к заражённому компьютеру через внешний интерфейс eSATA с другого компьютера и также проверить винт Касперским? Если можно, то как это сделать, просто соединить компы кабелем?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Интерфейс eSATA предназначен только для подключения дополнительных дисков. Компьютеры им соединить не возможно.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Maxim Посмотреть сообщение
    Информацию можно спасти, прицепив HDD к другому компьютеру.
    Имея DVD-Burner или еще лучше-USB-Harddisk можно сохранить важные данные, используя LiveCD (Bart PE или Knoppix).

  9. #8
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    Спасибо AndreyKa.
    Сдесь в новой ветке на однотипную тему говорили про LiveCD c линуксом. Наверно хорошая вещь, но вот весит много, а у меня не анлим. Давно хотел LiveCD заиметь, увы.
    Кстати, у меня заражённый компьютер тоже у сестры.
    О своём.
    После ночных бдений за зараженным компом вот каких результатов удалось добится. После загрузки в Безопасном режиме, именно с поддержкой командной строки, проверил винт CureIt-ом от DrWeb (правда 2-х месячной давности) - результат нашёл пару троянов, удалил, перезагрузился. Не помогло!
    Загрузился нормально, после приветствия вышел на картинку без Рабочего стола и Пуска, запустил Диспетчер Задач (единственно что работает после загрузки), из под него (ДЗ->Новая задача) удалось запустить Total Commander. В Командире пытался запустить Explorer.exe - не помогло, запустил Каспера - он спрятался в трей, откуда его не достать, пытался запустить AVZ - мгновенно вылетает веер непрекращающихся сообщений об ошибках (помогает отключение AVZ в Диспетчере). Запустил из Диспетчера Regedit, открыл реестр и нашёл по адресу[HKEY_Local_Machine\Software\Microsoft\WindowsNT\Cu rrent Version\Image File Execution Options\Explorer.exe]
    такой интересный ключик
    Debugger ---------C:\Program Files\Microsoft Common\svchost.exe
    Удалил этот ключ, перегрузился, и О чудо, повился и Рабочий стол и Пуск. Но уже Windows начала ругаться, что у Вас мол вирус. (А то я сам не догадался!)
    Запустил Каспера, проверил винт - он ничего не нашёл. AVZ также продолжает не запускаться.
    По адресу в ключе, нашёл файл svchost.exe, у него время создания именно когда вчера всё началось.
    А теперь вопрос. На мой взгляд svchost.exe там не должен находится, мне ЕГО можно удалить?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    pingpong.pif - переименованный спец. AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
    Сделайте логи в нем (хотя бы лог syscheck). Обновлять базы в нем не нужно (т.к. невозможно).

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Цитата Сообщение от Adrian Посмотреть сообщение
    А теперь вопрос. На мой взгляд svchost.exe там не должен находится, мне ЕГО можно удалить?
    Заархивируйте этот файл в zip архив с паролем virus и загрузите по этой ссылке http://virusinfo.info/upload_virus.php?tid=32714

  12. #11
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    Файл по ссылке закачал.
    Ещё в Процессах, в Диспетчере задач сидит файлик
    brastk.exe
    расположен по адресам
    C:\Windows\
    C:\Windows\system32\
    Появился примерно в тоже время когда и предыдущий (короче, когда комп загнулся). Может его загрузить сюда?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Не помешает, по тем же правилам. Но лучше конечно сделать логи и не заниматься гаданием.

    Ваш svchost.exe называется Worm.Win32.AutoRun.rhd (по Касперскому) и будет детектироваться в следующем обновлении баз.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Но уже Windows начала ругаться, что у Вас мол вирус.
    Он вам паспорт показал с фотографией Била Гейтса?
    Нет в Windows средств детектирования вредоносных программ. Это вас сам троян brastk.exe на ложный путь направляет.

  15. #14
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    Мои большие извинения за длительное отсутствие. Сейчас выхожу в Инет с очень древнего компа, поэтому проблемы со связью.
    Спасибо за ответы Maxim и AndreyKa.
    Я не большой специалист в Windows XP (у неё вроде там брэндмауэр какой-то есть, но у меня он отключен).
    Паспорт не показывал, но в трее висит красный кружок с белым крестом. При наведении указателя выводится сообщение:
    Your computer is infected!
    Windows has detected spyware infection!
    It is recomended to use special antispyware tools to pervent
    data loss. Windows will now download and install the most up-to-date antispyware for you.
    Click here to protect your computer from spyware!

    Файл brastk.exe загрузил по ссылке.
    pingpong.pif скачал, сейчас буду делать логи.
    Вопрос.
    Удалить вручную без вреда это brastk.exe и C:\Program Files\Microsoft Common\svchost.exe можно?

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Логи сделайте мы сами удалим...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Присланные файлы антивирус Касперского будет детектировать так:
    svchost.exe - Worm.Win32.AutoRun.rhd
    brastk.exe - FraudTool.Win32.XPSecurityCenter.bn

  18. #17
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    Выслал логи.
    AVZ при нормальной загрузке всё также выдаёт неисчислимое количество ошибок. pingpong.pif - почему-то не запускается.
    Удалось всё таки запустить AVZ в Безопасном режиме.
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     QuarantineFile('karna.dat','');
     QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ati1qyxx.sys','');
     QuarantineFile('C:\DOCUME~1\Maxcomp\LOCALS~1\Temp\loader.exe','');
     DeleteService('ati1qyxx');
     BC_DeleteSvc('ati1qyxx');
     DeleteFile('C:\DOCUME~1\Maxcomp\LOCALS~1\Temp\loader.exe');
     DeleteFile('C:\Documents and Settings\Maxcomp\Главное меню\Программы\Автозагрузка\Adobe Reader Speed Launch.lnk');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati1qyxx.sys');
     DeleteFile('C:\WINDOWS\System32\rs32net.exe');
     DeleteFile('C:\WINDOWS\system32\brastk.exe');
     DeleteFile('karna.dat');
     SysCleanAddFile('brastk.exe');
    SetAVZPMStatus(True);
    BC_ImportAll;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Загрузите его в нормальном режиме!
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.

    Попробуйте сделать новые логи по Правилам и приложите к этой теме.

  20. #19
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    29
    Вес репутации
    37
    Файлы карантина после выполнения скрипта выслал.
    AVZ при нормальной загрузке ОС всё равно,после выполнения скрипта, не хочет запускаться.
    Сначала выскакивает ошибка: Не возможно открыть файл \Base\extract.avz. Недостаточно квот для обработки команды.
    А потом идут нескончаемым потоком ошибки по какому-то адресу в памяти в модуле "avz.exe".
    Что делать с файлом C:\Program Files\Microsoft Common\svchost.exe ? Вроде сдесь писали, что в нём вирус.
    И на Рабочем столе валяется какой-то файл C:\Documents and Settings\Maxcomp\Рабочий стол\delself.bat ,
    прописанный датой и временем заражения компьютера.

    Так что мне делать? Я так понимаю компьютер до конца не вылечен. И AVZ всё таки хочется запустить не только под Безопасным режимом.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 27.10.2008 в 22:14.

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\Drivers\ati1qyxx.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ взять отсюда http://depositfiles.com/en/files/6501498 и выполнить скрипт в обычном режиме:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Beep');
     DeleteService('ati1qyxx');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati1qyxx.sys');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe ');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Beep');
    BC_DeleteSvc('ati1qyxx');
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  • Уважаемый(ая) Adrian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 25.01.2011, 03:28
    2. рабочий стол пропал
      От kalermo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.12.2010, 04:12
    3. пропал рабочий стол
      От steel-prom в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.08.2010, 13:52
    4. Пропал рабочий стол.
      От sveloga в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.02.2010, 13:33
    5. "Если коротко - пропал рабочий стол."
      От Sad в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 28.10.2008, 20:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01465 seconds with 17 queries