Показано с 1 по 16 из 16.

После попыток вылечить WinXP перезагр. на старте (заявка № 85401)

  1. #1
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27

    Question После попыток вылечить WinXP перезагр. на старте

    Здравствуйте!

    Рабочий компьютер подхватил какую-то заразу. Сначала после логина под любым пользователем в любом режиме стало появляться окно с сообщением о внезапном завершении services.exe и перезагрузке через 60 секунд. После загрузки с помощью Alkid'а вычистил из раздела Userinit все после запятой и соответствующие файлы с винчестера. Кроме того, один из них был прописан в сервисы. (c40c2d12.exe, rdfsaz.exe, MSDartSR.cmd - все в system32). После этого смог заходить в сейфмоду (правда, был блокирован доступ ко многим антивирусным сайтам и сайту MS). Зато в обычном режиме дело перестало доходить даже до логонскрина - сразу после пробегания прогрессбара в текстовом режиме - перезагрузка. В сейфмоде выполнил route -f и несколько раз прогнал Vit Registry Fix и Malwarebytes' anti-malware. Результат: в сейфмоде блокировка сайтов прекратилась, в обычном режиме - не доходит даже до прогрессбара.

    Прилагаю логи, очень надеюсь на помощь!

    П.С. Забыл на всякий случай сказать: вся статистика была собрана из под сейфмоды стандартного Администратора...

    П.П.С. Забыл указать, что компьютер работал под лицензионным DrWeb'ом, после того, как я смог загрузиться в сейфмоде прогнал свежим Касперским (бесплатным), который нашел тучу всяких рисков, для всех из которых говорил Лечить, не лечится - удалить.
    Последний раз редактировалось -=LJ=-; 14.08.2010 в 17:47.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Здравствуйте,
    вся статистика была собрана из под сейфмоды стандартного Администратора...
    ... и потратили впустую уйму времени: логи из безопасного режима бесполезны.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Logfile of HijackThis v1.99.1
    - Скачайте последнюю версию Hijackthis по ссылке в правилах.
    - Обновите базы АВЗ: (Файл/Обновление баз).
    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Пофиксите:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\cloverm.sys','');
     DeleteService('AWService');
     QuarantineFile('AWService.sys','');
     DeleteFile('AWService.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\AWService.sys');
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('AWService.sys');
    BC_Activate;
    CreateQurantineArchive('%userprofile%\desktop\avz_quarantine.zip');    
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Файл avz_quarantine.zip с Рабочего Стола закачайте ТУТ для анализа.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Rene-gad; 15.08.2010 в 10:02.

  4. #3
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Позвольте уточнить: действия, которые Вы предлагаете сделать, следует делать не из сейфмоды? Но ни в каком другом режиме я загрузиться не могу - перезагрузка наступает на очень ранней стадии (см. первое сообщение).

    Добавлено через 14 минут

    По скрипту: Ошибка скрипта: Too many actual parameters, позиция [14:13]
    По Хайджеку: Обновил, но таких строк [020] у меня нет. F2 пофиксил.

    Сейчас перезагружусь и еще раз все попробую...

    Добавлено через 6 минут

    Зайти в систему кроме как в сейфмоде по прежнему не могу - сразу после прогресбара в текстовом режиме происходит перезагрузка и старт меню, из которого остается только выбрать сейфмоду...

    Добавлено через 4 минуты

    Я правильно понимаю, что в вызове BC_DeleteSvc('AWService.sys','');
    второй параметр (пустая строка) - лишний?

    Добавлено через 31 минуту

    Исправил ошибку в скрипте как знал (убрал лишний параметр), выполнил карантин приаттачил.
    Последний раз редактировалось -=LJ=-; 14.08.2010 в 19:56. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Собрал логи еще раз. Снова, увы, в сейфмоде. Из под пользователя, под которым произошло заражение.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от -=LJ=- Посмотреть сообщение
    Снова, увы, в сейфмоде. Из под пользователя, под которым произошло заражение.
    Запускать антируткиты в сейфмоде бессмысленно. Если пользователь не имеет прав админа - это дважды бессмысленно.
    - Сделайте лог полного сканирования MBAM.
    Последний раз редактировалось Rene-gad; 15.08.2010 в 10:11. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Запускать антируткиты в сейфмоде бессмысленно. Если пользователь не имеет прав админа - это дважды бессмысленно.
    - Сделайте лог полного сканирования MBAM.
    Он их имеет. Лог MBAM прилагаю.

  8. #7
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Запускать антируткиты в сейфмоде бессмысленно. Если пользователь не имеет прав админа - это дважды бессмысленно.
    - Сделайте лог полного сканирования MBAM.
    Пока больше ничего сделать невозможно?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Цитата Сообщение от -=LJ=- Посмотреть сообщение
    сразу после пробегания прогрессбара в текстовом режиме - перезагрузка.
    Выберите "Отключить автоматическую перезагрузку при отказе системы". Что там будет написанно?

  10. #9
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Цитата Сообщение от light59 Посмотреть сообщение
    Выберите "Отключить автоматическую перезагрузку при отказе системы". Что там будет написанно?
    Раньше так делал - результат был ровным счетом такой же. Никаких надписей, никакой информации на экране - перезагрузка и все.

    Увы, теперь это все в прошлом. Я уже от безвыходности попытался произвести repair installation винды, но диск, который мне для этой цели пришлось использовать, был неправильный. В результате я теперь прекрасно попадаю в логонскрин обычного (не сэйф) режима, но залогиниться не могу по причине - требуется активация

  11. #10
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Цитата Сообщение от light59 Посмотреть сообщение
    Выберите "Отключить автоматическую перезагрузку при отказе системы". Что там будет написано?
    К счастью, удалось найти подходящий диск и произвести восстановительную установку. Смог загрузиться в нормальном режиме под тем пользователем с правами администратора, под которым произошло заражение. Систематически стало выводиться сообщение об ошибке и завершении процесса msfeedssync.exe.

    Снял логи HJT. AVZ в процессе. Мучительно надеюсь на дальнейшую помощь...

  12. #11
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Во время выполнения длинного скрипта AVZ комп завис и перезагрузился, предварительно выдав сообщение о завершении winlogon.exe

  13. #12
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Удалил несколько ненужных программ. Выполнил msfeedssync.exe disable. Пересобрал статистику. Работа компьютера пока доверия не вызывает: время от времени виснет, вылетают обычные программы. В сеть пока его не пускаю, только обновил Доктора Веба.

  14. #13
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Цитата Сообщение от light59 Посмотреть сообщение
    Что там будет написано
    Последние логи чистые? Я после их высылки удалил все, что относилось к Акробату (как Ридеру, так и просто акробату). Но сейчас через некоторое время после начала работы начинает дурить lsass.exe - занимает почти все ресурсы процессора... Какую еще информацию я могу предоставить, что бы победить заразу? Обидно было бы после стольких мучений завершить дело полной переустановкой винды ((

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от -=LJ=- Посмотреть сообщение
    только обновил Доктора Веба.
    какого Др.Веба?! У Вас же там Нортон установлен... Вы уж плиз решайте, какой антивирус, но не 2 сразу.
    - Установите все важные обновления.
    - Установите IE 8 - даже если Вы им не пользуетесь.
    А заразы в логах не увидел.

  16. #15
    Junior Member Репутация
    Регистрация
    12.08.2010
    Сообщений
    11
    Вес репутации
    27
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    какого Др.Веба?! У Вас же там Нортон установлен... Вы уж плиз решайте, какой антивирус, но не 2 сразу.
    - Установите все важные обновления.
    - Установите IE 8 - даже если Вы им не пользуетесь.
    А заразы в логах не увидел.
    Нортон там стоял последний раз около трех лет назад. Сейчас как минимум год там стоит лицензионный Дрвеб - это совершенно определенно. Стоял до последнего времени во вспомогательном режиме (без мониторинга) Комодо, но Нортон - нет.

    Все обновления и ИЕ8 я установил после последних логов, но до последнего сообщения... Зависание и отжирание lsass'ом ресурсов процессора отмечалось уже после того, как все это было выполнено

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) -=LJ=-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 18.01.2012, 05:19
    2. Ответов: 1
      Последнее сообщение: 12.01.2012, 09:44
    3. После лого WinXP появляется окошко
      От furia в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.05.2011, 02:13
    4. WinXP не запускается после перезагрузки
      От KSL150 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.12.2009, 21:29
    5. Ответов: 13
      Последнее сообщение: 06.04.2009, 20:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01396 seconds with 16 queries