Показано с 1 по 7 из 7.

Машина явно чем-то сильно больна (заявка № 81244)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2010
    Сообщений
    5
    Вес репутации
    29

    Thumbs down Машина явно чем-то сильно больна

    На компьютере стоит Win XP Prof English SP3, в качестве антивируса -- Avira AntiVir, который ничего подозрительного не замечает.

    На данный момент наблюдаются следующие симптомы неблагополучия:
    1) Не запускается большинство программ -- у одних окно просто открывается и тут же закрывается, у других при запуске выдается MessageBox, в котором написано "This application has failed to start because the application configuration is incorrect. Reinstalling the application may fix this problem" и имеется одна кнопка "OK".
    2) Кое-что все же запускается. Запускается FAR, запускается Acrobat Reader 5, запускается IE6 и даже как-то работает, позволяя походить по сайтам.
    3) На Taskbar'е отсутствует кнопка "Start", отсутствуют кнопки запущенных приложений, не показывается корректно переключатель языка
    4) В ответ на нажатие на клавиатуре левой виндовой клавиши (та, котороая с флажком, между [Ctrl] и [Alt]) появляется start-меню в левом верхнем углу, но в нем имеются только 3 первых пункта "Set Program Access and Defaults", "Windows Catalog", "Windows Update".
    5) По нажатию Ctrl-Alt-Del и кнопки "Task Manager" Task Manager запустить не удается.
    6) Окна Explorer'а выглядят странно -- в них нет ни пунктов меню, ни кнопок-иконок -- соответсвующие toolbar'ы просто равномерно серые. В них можно тыкнуться вслепую -- подменю при этом появляются.
    7) [пункт удален -- он не подтвердился]

    В "Safe Mode" картина такая же.

    Машина была просканирована свежезагруженным Dr.Web Live CD, при этом в TEMP-директории основного пользователя этой машины было обнаружено следующее:
    C:\Documents and Settings\<user>\Local Settings\Temp\e.exe - Trojan.NtRootKit.3523
    C:\Documents and Settings\<user>\Local Settings\Temp\jar_cache4989542287043213711.tmp/myf/y/AppletX.class - Exploit.CVE2008.5353
    C:\Documents and Settings\<user>\Local Settings\Temp\jar_cache4989542287043213711.tmp/myf/y/LoaderX.class - Java.Antiload
    После сканирования оба файла были удалены, но это ничего не изменило в поведении машины.

    Был загружен свежий Kaspersky Rescue Disk 10. Сканирование диска C: при помощи него обнаружило где-то в глубинах "C:\Documents and Settings\<user>\Application Data\Sun\Java\Deployment\cache\6.0\..." в каком-то из файлов Exploit.Java.Agent.f. К сожалению, по непонятной причине, сканер KAV с Kaspersky Rescue Disk 10 не смог досканировать диск C: до конца -- в процессе сканирования он просто тупо закрывался безо всяких сообщений об ошибке. При его перезапуске в отчете было написано, что сканирование было прервано, причина не указана. Я повторил сканирование еще 2 раза с тем же результатом -- сканирование диска C: почему-то самопроизвольно прерывалось. (На всякий случай, машина была перегружена в XP safe mode, и диск C: проверен при помощи chkdsk -- никаких ошибок в файловой системе найдено не было) Тем не менее, найденный файл с Exploit.Java.Agent.f был в конце концов удален.
    Увы, в поведении машины это тоже ничего не изменило, все вышеприведенные симптомы на месте.

    Попытка запустить на машине avz4 ни к чему не привела -- не запускается ни в исходном варианте ни после переименования, ни в нормальном режиме, ни в "Safe mode", выдает все то же "This application has failed..."
    Таким образом, выполнить все правила составления запроса не могу по техническим причинам.

    HiJackThis запускается нормально, log создает (приаттачен).

    Есть идеи, что и как еще можно пробовать запускать для диагностики?
    Последний раз редактировалось ukcuka; 18.06.2010 в 20:23. Причина: удалил не подтвердившийся пункт 7)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Попробуйте полиморфный AVZ (ссылка в подписи)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2010
    Сообщений
    5
    Вес репутации
    29
    Цитата Сообщение от thyrex Посмотреть сообщение
    Попробуйте полиморфный AVZ (ссылка в подписи)
    Скачал mink.pif по ссылке, попробовал запустить -- результат тот же: MessageBox "This application has failed...". Попробовал и в Safe Mode -- то же самое.

    (Кстати, пункт 7 из моего заглавного письма я снимаю. В этот раз я с помощью F8 до меню, из которого можно выбрать "Safe Mode", все-таки добрался.)

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Скачайте "OSAM" (Online Solutions Autorun Manager).

    Лог работы утилиты заархивируйте и прикрепите к своему сообщению
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2010
    Сообщений
    5
    Вес репутации
    29
    Цитата Сообщение от thyrex Посмотреть сообщение
    Скачайте "OSAM" (Online Solutions Autorun Manager).
    Лог работы утилиты заархивируйте и прикрепите к своему сообщению
    Индейское национальное жилище, однако. Фигвам, то есть.
    Скачал инсталлятор OSAM'а и portable его версию. На страдающей машине ни portable версия ни инсталлятор не запускаются все с той же диагностикой: "This application has failed...".

    Правда, загрузивши Linux с USB-флешки, я подмонтировал системный диск этой машины и слил оттуда содержимое C:\WINDOWS\system32\config и все файлы ntuser.dat для всех user'ов. Так что registry этой машины можно посмотреть offline browser'ом. Могу, в частности, проэкспортировать в текстовом виде какие-нибудь ветки этой registry, если надо.

  7. #6
    Junior Member Репутация
    Регистрация
    18.06.2010
    Сообщений
    5
    Вес репутации
    29
    За пару последних дней успел сделать посекторную копию системного диска со страдающей машины, из этой копии изготовть виртуальный диск для vmware, и проверить его содержимое последним AVPTool'ом и Avira AntiVir Rescue System CD. Оба ничего предосудительного не нашли.

    Кроме того выяснилось, что на "больной" машине так же не запускаются ProcessExplorer и Autoruns от Sysinternals/Microsoft (причем даже консольная врерсия autorunsc.exe не запускается). Однако, нормально запускается GMER. Правда, он тоже, по-моему, ничего особенного не обнаружил. (см. приаттаченый лог)

    Начинаю склоняться к мысли, что, может, на машине и нет активных зловредов, а весь этот комплекс странностей является последствием какого-то повреждения системы...

  8. #7
    Junior Member Репутация
    Регистрация
    18.06.2010
    Сообщений
    5
    Вес репутации
    29
    Цитата Сообщение от ukcuka Посмотреть сообщение
    Начинаю склоняться к мысли, что, может, на машине и нет активных зловредов, а весь этот комплекс странностей является последствием какого-то повреждения системы...
    Поскольку никаких других идей не было, система была восстановлена запуском Repair install с инсталляционного CD. Это помогло. Все снова работает. Всем спасибо как за советы/идеи/подсказки, так и за безмолвное участие.
    Тему можно закрывать.

  • Уважаемый(ая) ukcuka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. явно вирусы
      От qwertyqwerty11 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 28.07.2010, 14:55
    2. Виснет Эксплорер, явно что-то тут не так...
      От cedecede в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.11.2008, 22:11
    3. Ответов: 7
      Последнее сообщение: 22.09.2008, 22:32
    4. явно в раздел помогите
      От Маришка в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.07.2008, 12:36
    5. явно сидит зловред
      От cavetroll в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.06.2008, 09:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01528 seconds with 16 queries