Показано с 1 по 7 из 7.

После удаления baseprew32.dll не грузится даже в safe mode (заявка № 64197)

  1. #1
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    26
    Вес репутации
    30

    Thumbs up После удаления baseprew32.dll не грузится даже в safe mode

    Добрый день!
    NOD32 обнаружил заразу в baseprew32.dll - Win32/SubSys.NAD.
    Файл был заблокирован и NOD собирался удалить его после перезагрузки.
    Проверка CureIt ничего не нашла.
    После перезагрузки Windows не грузится ни в нормальном, ни в безопасном режиме.
    Попробовал загрузиться с Hiren'sBootCD9.9
    Скопировал чистый basesrv.dll в system32 как basesrv.dll и как baseprew32.dll. Ничего не дало.
    Проверил реестр, как описано в Чаво. Все на месте.
    Загрузка останавливается на чистом голубом экране с курсором, перед экраном ввода пароля.
    Провел проверки по правилам из под Hiren'sBootCD9.9.
    HijackThis выдал Run-time error '50003' после нажатия на кнопку I Accept.
    Результаты проверки направляю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Ikal_2 Посмотреть сообщение
    Проверил реестр, как описано в Чаво
    Что именно и как вы смотрели в реестре?
    Не припоминаю в Чаво статьи про basesrv.
    Сейчас попробую найти, давно это было...

    Добавлено через 13 минут

    В общем так:
    Надо с помощью Win PE или др. системы цеплять в regedit куст SYSTEM и смотреть во всех ControlSet'ах ветку Control\Session Manager\SubSystems. В ней есть параметр Windows а правильным значением его должно быть следующее:
    %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
    Насколько мне известно, троян менял только имя dll (выделено красным).
    Исправьте его аккурантно, остальное не трогайте.
    Последний раз редактировалось Bratez; 18.12.2009 в 16:55. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    26
    Вес репутации
    30
    Не дождался ответа в пятницу, начал лечиться самостоятельно.
    Систему удалось запустить, но есть подозрения, что какая-то зараза осталась. Комп притормаживает.
    Новые логи:

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Активной заразы в логах не видно.
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('D:\WIN.XP\herjek.exe');
     DeleteFile('D:\WIN.XP\TEMP\winlogon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новый лог syscheck (только п.2 раздела Диагностика).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    26
    Вес репутации
    30
    В безопасном режиме свежий CureIt нашел в system32\oobe вирус
    Tool.Wpakill.2 в файле MSOOBE.EXE. Удален.
    Перед выполнением скрипта заглянул по указанным в нем адресам.
    В WIN.XP herjek.exe не обнаружен зато имеется herjek.config.
    В WIN.XP\TEMP winlogon.exe также не обнаружен.
    Выполнен скрипт. Новый лог syscheck прилагается.
    После выполнения скрипта herjek.config остался. Могу прислать, если интересует.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В логе порядок.
    herjek.config не нужен, можете удалить.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    26
    Вес репутации
    30
    Большое СПАСИБО за содействие.
    С наступающим 2010 годом!
    Успехов в Новом Году!

  • Уважаемый(ая) Ikal_2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win7 грузится только в Safe Mode
      От yokoso в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.06.2011, 05:38
    2. Не стартует XP даже в safe mode
      От Marcello в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.10.2009, 10:35
    3. XP не грузится, в Safe Mode ребутится.
      От ascodts в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 08:32
    4. не грузится в safe mode, и не только
      От romango в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 31.01.2009, 15:17
    5. Странно, но в Safe Mode не грузится.
      От GRom в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 06.09.2007, 18:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01448 seconds with 16 queries