-
Junior Member
- Вес репутации
- 53
Не работает SafeMode (XP SP3)
В середине прошлого года подцепил попрошайку. Требование СМС и всё такое.
Версия была продвинутой, на генераторы в инете не отзывалась, помогла только загрузка с LiveCD и удаление файлов руками.
После этого начались проблемы:
1. Перестал работать SafeMode.
2. Стали появляться глюки с explorer.exe
(система "висла" после щелчка правой кнопкой на любом файле, помогало только убитие и запуск снова процесса explorer.exe).
3. Перестал работать журнал "Event Viewer".
Проблему 3 я вроде как решил(путём удаления каталога с логами).
Проблема 2 беспокоит не очень сильно (хотя тоже неплохо бы её решить).
Однако неработающий SafeMode напрягает...
При загрузке появляется синий экран:
Stop 0x0000007B (0xF78C6524, 0xC0000034, 0x00000000, 0x00000000).
Тему с аналогичным названием прочёл.
Большой скрипт рекомендуемый выполнил (безрезультатно).
Существенных системных проблемм AVZ не выявил.
В журнале системных событий ни одной ошибки при загрузке.
-----Добавлено на следующий день-----
Базы AVZ обновил - провёл проверку заново, логи приложил.
Так же отключил часть служб, которые были рекомендованы и удалил WebDrive, который avz показался подозрительным.
Ещё удалил драйвер Lbd.sys по аналогичной причине.
Последний раз редактировалось DmitryOlenin; 14.01.2010 в 16:45.
Причина: новые лог-файлы
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы AVZ и переделайте логи!
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Проблема эта появилась задолго до 21.08.2009.
Однако базы для порядка обновил.
А так же провёл мини-расследование, может как-то поможет.
В директории Windows\Temp был файл pi.exe.
Который опознался как троян кажется. Удалил.
Возможно "подозрительные" драйвера ubdrvgd и ubarcgd - это драйвера для работы с USB. Установлены были сильно позже появления всех вышеописанных проблем.
Однако попытка их отключения даёт ту же самую Stop 0x0000007B (с другим, правда, первым значением в скобках).
Насчёт процессов:
ezlcd_system_monitor(x86).exe - апплет для клавиатуры.
Древний довольно, окна своего не имеет. Работает нормально. Не вирус.
notepad.exe - не стандартный блокнот, а AkelPad. Не вирус.
speedfan.exe - ну, он и есть. Не вирус.
Последний раз редактировалось DmitryOlenin; 14.01.2010 в 16:53.
-
Junior Member
- Вес репутации
- 53
[Почти решено]
Проблема с Safe mode была решена при помощи скрипта AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\pi.exe','');
DeleteFile('C:\Windows\Temp\pi.exe');
DelCLSID('TBAS4856-38FG-OJ3Q-36U5-18J8HJ6G3EHV');
DelCLSID('D426290F-9A6A-297C-2B6F-ECA500E88E2F');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
Посоветовали мне его в разделе Лечение систем от вредоносных программ на форуме OsZone.
Последний раз редактировалось DmitryOlenin; 15.01.2010 в 14:20.
Причина: Осталась проблема с Explorer
-
Junior Member
- Вес репутации
- 53
У меня тут пока монолог получается.
Однако надеюсь на вашу помощь.
После исправления ситуации с EventLog работа процесса explorer вроде бы наладилась.
Сейчас проверил ещё раз - опять перестал работать
Правая клавиша на файле - система "задумалась" и всё...
Explorer умер опять
Причём происходит это не каждый раз.
То есть сейчас перезапустил процесс - нормально работает правый щёлчок на том же файле.
Теперь вновь жду ваших советов.
Логи только что сделал - прилагаю.
P.S.
- Кроме всего прочего произвёл чистку и сжатие реестра при помощи TuneUp.
- Также проверил полностью (5 этапов) чекдиском все локальные диски.
- Выполнил скрипт в AVZ: ExecuteRepair(16);
- Выполнил быструю проверку Malwarebytes Anti-Malware (30 минут).
Нашёл 8 якобы угроз, и ни одной реальной, к счастью.
-
Ничего зловредного в логах не увидела.
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(13);
end.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Выполнил. Вроде всё нормально. Спасибо.
Пока больше воспроизвести не смог зависание explorer-a.
Выяснил, что делает ExecuteRepair(13);.
Никакого отношения к зависаниям процесса exeplorer.exe файл hosts иметь не может, насколько я знаю.
Если ещё будут какие-то мысли, буду рад
Последний раз редактировалось DmitryOlenin; 15.01.2010 в 19:01.