-
Junior Member
- Вес репутации
- 58
Не загружается ОС
Не может загрузиться ОС Windows XP. Со слов пользователей появилось окно с просьбой куда-то чего-то отправить, что бы это окно исчезло, короче очередной вымогатель. Перезагрузили компьютер, и при старте ОС стала бесконечно загружаться, бесконечно бегут "поровозики". При безопасной загрузке вылетает BSOD:
0x0000007B (0xF789E524, 0x0000034, 0x....). Снял винт, подключил к компьютеру с KIS2010, пробежался им, были найдены следующие вирусы:
22.12.2009 15:41:44 Вылечено вирус Virus.Win32.Sality.o I:\КАРТИНКИ\ь\DeathwishDog.exe Высокая
25.12.2009 16:17:21 Вылечено вирус Rootkit.Win32.TDSS.y H:\WINDOWS\system32\drivers\atapi.sys Высокая
25.12.2009 17:04:28 Вылечено вирус Worm.Win32.AutoIt.ro I:\Temp\avz4\Quarantine\2009-10-15\avz00001.dta Высокая
25.12.2009 16:54:45 На карантине вирус HEUR:Exploit.Script.Generic H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\QDPYBETC\index[2].htm Высокая
25.12.2009 16:17:21 Вылечено вирус Rootkit.Win32.TDSS.y H:\WINDOWS\system32\drivers\atapi.sys Высокая
25.12.2009 17:04:28 Вылечено вирус Worm.Win32.AutoIt.ro I:\Temp\avz4\Quarantine\2009-10-15\avz00001.dta Высокая
25.12.2009 16:14:03 Не найдено вирус Virus.Win32.Sality.n H:\Documents and Settings\малыш\Local Settings\Temp\~DFFDE3.tmp//~DFFDE3.tmp Высокая
В реестре подправил:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Вместо C:\WINDOWS\system32\userinit.exe, было \\.\globalroot\systemroot\system32\userinit.exe,
Почистил все временные папки, prefetch, и т.п.
После этого подключил винт обратно, но ничего не поменялось - в обычном режиме происходит бесконечная загрузка, в безопасном режиме получаем BSOD.
После этого решил восстановить реестр месячной давности, благо что было создано вручную. Восстановил реестр старый, подключил винт обратно, процесс загрузки поменялся - паровозики бежали около 10 секунд, а потом экран стал черным и все, на этом комп как будто уснул.
Кстати сталкиваюсь с подобным второй раз, в первом случае пользователь переустановил систему, но в данном случае переустановка крайне нежелательна. Поэтому обращаюсь к вам за советами.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
WINDOWS\system32\drivers\atapi.sys восстановите оргинальный.
I am not young enough to know everything...
-
-
Просканируйтесь с LiveCD. Если ситуация улучшится, сделайте логи по правилам.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
миднайт
Просканируйтесь с LiveCD. Если ситуация улучшится, сделайте логи по правилам.
Имеется только ERD Commander, с него разве получится AVZ просканировать? Какой диск посоветуете скачать.
Сообщение от
Bratez
WINDOWS\system32\drivers\atapi.sys восстановите оргинальный.
Тоже через поиск находил пару слов об atapi.sys, правда сравнивал только размеры файлов. Размеры совпали, попробую сейчас заменить.
-
http://www.freedrweb.com/livecd/
этот порекомендую.
WINDOWS\system32\drivers\atapi.sys восстановите загрузившись с LiveCD любого.
-
-
Junior Member
- Вес репутации
- 58
atapi.sys заменил с рабочего компьютера, ничего не поменялось. Просто черный экран.
-
atapi.sys замените из дистрибутива.
-
-
Junior Member
- Вес репутации
- 58
Из дистрибутива копировал atapi.sy_ - вылетает BSOD вышеописанный.
Пробовал копировать как c:\WINDOWS\$NtServicePackUninstall$\atapi.sys так и c:\WINDOWS\system32\drivers\atapi.sys (разных версий) - всеравно черный экран при нормальном и безопасном режиме.
Добавлено через 8 минут
Сообщение от
миднайт
Если мне память не ошибает там же линукс? AVZ под ним будет работать?
Последний раз редактировалось Duplex; 25.12.2009 в 17:50.
Причина: Добавлено
-
atapi.sy_ это архивированный файл, его нужно распаковать командой expand
http://virusinfo.info/showthread.php?t=51654
Сообщение от
Duplex
Если мне память не ошибает там же линукс? AVZ под ним будет работать?
Нет, задача стоит просканироваться с помощью встроенной в лайф си ди лечащей утилиты. Логи AVZ из под LiveCD бесполезны.
Логи AVZ делать из обычного режима.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
миднайт
Нет, задача стоит просканироваться с помощью встроенной в лайф си ди лечащей утилиты. Логи AVZ из под LiveCD бесполезны.
Логи AVZ делать из обычного режима.
Ну просканировал и пролечил я подключив жесткий к здоровому компьютеру. Или в лайфсд какой-то доп. сканер есть (не каспер, не дрвеб..)
Попрбовал загрузиться с drweb live cd - в итоге появляется сообщение что моник не поддерживает данный режим, а других моников нет. В Safe mode тоже самое.
-
Вы из дистрибутива восстановили системный файл atapi.sys или нет? Я так и не понял. Загрузитесь из консоли восстановления (диск с дистрибутивом windows), попробуйте проверить системные файлы командой sfc /scannow
-
-
Junior Member
- Вес репутации
- 58
Всем огромнейшее спасибо! Очередной раз убедился что не нужно доверять касперскому на 100%. Сразу не проверил cureit!, думал раз касперским прошелся, то все возможные вирусы были найдены. Проверился CureIT! и был найден Trojan.Winlock.569 в файле ntfs.sys Заменил из дистрибутива и ОС загрузилась.
Кстате, нашел тему http://virusinfo.info/showthread.php?t=64726 - похожая проблема.
-
Ни один антивирус не дает сто процентной гарантии.
-
-
Junior Member
- Вес репутации
- 58
Рано обрадовался, система хоть и загружается но зависает при завершении, перезагрузки, при вставке флешки
Хоть и сетевой кабель подключен, винда пишет что не подключен сетевой кабель... запускаешь реестр (regedit) появляется сообщение о том, что не удалось найти C:\windows\regedit.exe хотя файл присутствует.
-
Junior Member
- Вес репутации
- 58
Всем еще раз спасибо, разобрался. Можно тему закрыть.
-
-
-
Junior Member
- Вес репутации
- 58
Драйвер сетевухи. Логи можно проверить, т.к. не работает контур-экстерн, пробую переустановить драйвер, вылетает с ошибкой.