-
Junior Member
- Вес репутации
- 55
СМС! после чистки проблемы
Подскажите что делать:
После сканирования из-под LiveCD DrWEB'ом и Касперским 2009 винда XP SP2 перестала нормально работать. Касперский определил файлы типа \system32\logonui.exe, .\userinit.exe, .\cmd.exe, .\rundll32.exe, calc.exe и еще несколько системных файлов как зараженные вирусом Type_Win32 и удалил. Я их восстановил на место, после удаления неработающего КАВ 2009 и установки и обновления КИС 7.0.1.325, он(КИС 7.0) стал ругаться на эти файлы и предлагал их удалить. После этого собственно пришел сюда. Загрузить систему в Safe Mode не удается - выкидиывает BSOD 0x7B, первым делом конечно попробовал запустить консоль восстановления Windows чтобы запустить chkdsk - система во время проверки перед загрузкой консоли перегрузилась. Переустановка системы не вариант.
Из-под LiveCD chkdsk выводит уже второй раз сообщение:
Код:
Удаление 4 неиспользуемых элементов индекса $SII файла 9.
Удаление 4 неиспользуемых элементов индекса $SII файла 9.
Очистка 4 неиспользованных дескрипторов безопасности.
Восстановление зеркальной копии потока данных дескрипторов безопасности.
Стоит проверять из под "опасного" режима CureIT'ом, AVZ и HiJackThis? Или через LiveCD? Посоветуйте как поступить, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Надежнее всего просканировать с помощью LiveCD. Если будут удалены как неизлечимые какие-то системные файлы, то их надо восстанавливать из дистрибутива. Настоятельно рекомендуется поставить SP3, но только после окончательного излечения.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
а чем сканировать? avz после кав ничего не нашел, дрвеб вряд ли что то новое найдет повторно. TrojanRemover и HiJackThis пробовать?
-
-
-
Junior Member
- Вес репутации
- 55
добавил логи КАВ2009 с LiveCD и AVZ в самой системе.
сейчас система в ракообразном состоянии: не загружаются часть сервисов и драйверов скрытых(не-PnP) и сетевых устройств, в КИСе 7.0 не работает компонент сетевого экрана.
скажите мне что пора переставлять ОСь и не мучаться
Последний раз редактировалось itch; 19.08.2010 в 15:19.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987192}');
QuarantineFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\reader_s.exe','');
DeleteFile('C:\Documents and Settings\Администратор\reader_s.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи AVZ и HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось itch; 19.08.2010 в 15:19.
-
Junior Member
- Вес репутации
- 55
попутно хочу спросить, насколько действия вирусов и антивирусов связаны с неработоспособностью устройств и сервисов?
скриншот прилагается
Последний раз редактировалось itch; 19.08.2010 в 15:19.
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин по красной ссылке наверху.
-
-
Junior Member
- Вес репутации
- 55
уже.
за карантин в топике, простите, пожалуйста, запарился на ночь глядя.
-
NDIS.sys в карантин не попал.
Есть подозрение, что в этот файл раньше был заражен.
Диск, с которого система устанавливалась на этом компьютере, есть?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
thyrex, дистрибутив имеется, возможно не совсем тот, с которого устанавливалась система, но похожий.
сейчас попробую восстановление запустить, предварительно создав образ. если не поможет, откачусь назад.
или просто восстановить файл NDIS.SYS из дистрибутива?
update:
восстановил систему с оригинального дистрибутива winxp sp2 - заработали сетевые компоненты, осталась маленькая проблемка: при загрузке рабочий стол не прогружается, есть только таскбар. в таком состоянии висит минуту-две, потом выкидывает ошибку [на скриншоте] и дальше нормально догружается.
сейчас проверяю КИС 7.0, потом стандартный скрипт avz и hijackthis и выложу логи.
Последний раз редактировалось itch; 19.08.2010 в 15:19.
-
Junior Member
- Вес репутации
- 55
логи КИС 7.0, скрипта AVZ и HiJackThis
Последний раз редактировалось itch; 19.08.2010 в 15:19.
-
Junior Member
- Вес репутации
- 55
ну так что, можно машину считать чистой или еще искать надо?
сейчас накатил на windows sp3 и обновления до июня. в инет пока не пускал.
-
C:\WINDOWS\system32\UTSCSI.EXE проверьте на virustotal Ссылку на результат проверки сообщите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
-
Проблема после установки SP3 решилась?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
нет, так же во время загрузки отображаются обои, таскбар, в трее значок блютуса, громкости и панели нвидиа, на рабочем столе значков нет.
в таком состоянии шуршит винтом около минуты, после чего прогружается рабочий стол, КИС и остальные программы в авторане. сообщений об ошибках нет.
видимо, удалили то что должно было запускаться вместе с системой, а хвосты остались, но не пойму где искать.
Добавлено через 12 минут
забыл сказать, пока рабочий стол не прогрузился не запускается диспетчер задач и даже кнопка пуск е нажимается.
Последний раз редактировалось itch; 17.07.2009 в 13:00.
Причина: Добавлено
-
Давайте логи с обновленной системы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
быстро не получится - ноутбук уже отдал человеку, ему учиться надо. так что тему не закрывайте, как смогу получить доступ - выложу.