Лечение системы

[3kit7]

Как уже писал, комп глючит в последнее время. То грузится (иногда для этого нужно чем-либо занять USB-порт), то нет - часто выскакивает сообщение рода: "Не удается запустить Windows XP из-за испорченного или отсутствующего файла \WINDOWS\SYSTEM32\CONFIG\...".

Сделал вроде все по инструкции, присоединяю полученные логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[Bob77]

Как уже писал, комп глючит в последнее время. То грузится (иногда для этого нужно чем-либо занять USB-порт), то нет - часто выскакивает сообщение рода: "Не удается запустить Windows XP из-за испорченного или отсутствующего файла \WINDOWS\SYSTEM32\CONFIG\...".

Сделал вроде все по инструкции, присоединяю полученные логи:

А вы не пробовали выполнить комманду chkdsk

CHKDSK (сокращение от check disk — проверь диск) — стандартное приложение в операционных системах DOS и Microsoft Windows, которое проверяет жёсткий диск или дискету на ошибки файловой системы (например, один и тот же сектор отмечен как принадлежащий двум разным файлам). CHKDSK также может исправлять найденные ошибки файловой системы.

Под Windows NT, Windows 2000 и Windows XP, CHKDSK также может проверять поверхность жёсткого диска на наличие физически повреждённых секторов (bad sectors). Найденные сектора отмечаются как повреждённые, и система больше не пытается читать с этих секторов или писать на них. Ранее эту задачу выполнял SCANDISK.

[thyrex]

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelCLSID('{28ABC5C0-4FCF-11CF-ADX5-81NXC1C635612}');QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\wisenis32.exe','');QuarantineFile('C:\DOCUME~1\Kit\LOCALS~1\Temp\winlogon.exe','');DeleteFile('C:\DOCUME~1\Kit\LOCALS~1\Temp\winlogon.exe');DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\wisenis32.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(19);RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack

 F2 - REG:system.ini: UserInit=userinit.exe

Сделайте новые логи

"Не удается запустить Windows XP из-за испорченного или отсутствующего файла \WINDOWS\SYSTEM32\CONFIG\..."

Эта ошибка указывает на повреждение системного реестра

i

Уведомление:

Исправил опечатку

Edited August 23, 2009 by akoK

[3kit7]

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelCLSID('{28ABC5C0-4FCF-11CF-ADX5-81NXC1C635612}');QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\wisenis32.exe','');QuarantineFile('C:\DOCUME~1\Kit\LOCALS~1\Temp\winlogon.exe','');DeleteFile('C:\DOCUME~1\Kit\LOCALS~1\Temp\winlogon.exe');DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\wisenis32.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepai(19);RebootWindows(true);end.

thyrex: скопировал код, вставил, нажимаю "запустить" - выходит "Ошибка: Undeclared identifier: 'ExecuteRepai' в позиции 12:13" ?

[akoK]

3kit7: опечатка маленькая в скрипте. Я поправил.. выполните еще раз скрипт из поста №3

[3kit7]

Пофиксить в HiJack

F2 - REG:system.ini: UserInit=userinit.exe

Выбирать исключительно F2? Просто на картинке примера в "Что значит "пофиксить в HiJack"?" еще отмечены всякие R1, R0...

Сделайте новые логи

Логи те же, в количестве 4-ых штук? Если да, то делать их точно таким же образом как и в первый раз? Потом выложить их здесь с полученным ответом от kaspersky.com?

[akoK]

3kit7: правильно. Только уже ничего скачивать не нужно.

[3kit7]

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Отправил им файл - ответ: "Здравствуйте, От Вас получено письмо, не содержащее файлов. Возможно, антивирус на почтовом сервере удалил Ваш файл как инфицированный. Если Вы нам посылали файл, пожалуйста заархивируйте файл с паролем infected и пришлите снова."

Отправил снова, только уже как они сказали с запароленным архивом - ответ: "Здравствуйте, Архив не содержит файла."

Че теперь делать?

[akoK]

3kit7: готовьте логи. Посмотрим, что осталось.

[3kit7]

Новые логи (только почему-то файл info.txt не обновляется) + на всякий случай файл quarantine.zip:

i

Уведомление:

quarantine.zip удалил, хотя и пустой, но это карантин и его не нужно прикреплять в теме

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Edited August 25, 2009 by ТроПа

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\msdnc5.exe','');DeleteFile('C:\WINDOWS\msdnc5.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В письме укажите ссылку на тему.

2.Пофиксить в HijackThis следующие строчки )

O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file) 

Повторите логи.

Edited August 25, 2009 by ТроПа

[3kit7]

Карантин отправил, новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[iskander-k]

Сделайте ещё следующее.

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.

[3kit7]

Лог от Malwarebytes Anti-Malware:

mbam_log_2009_08_25__22_11_19_.txt

mbam_log_2009_08_25__22_11_19_.txt

[akoK]

3kit7: что с проблемами?

Если не решилось, то :

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[3kit7]

что с проблемами?

В принципе сообщения об ошибках уже давно не появляются, просто как-то странно мой NOD32 ничего не находил, CureIT находил парочку вирусов. А проверил Malwarebytes Anti-Malware, программа обнаружила аж 72 заразы - как можно быть уверенным что теперь система полностью обеззараженна?

И вообще каким постоянным антивирусом лучше всего пользоваться?

[iskander-k]

В принципе сообщения об ошибках уже давно не появляются, просто как-то странно мой NOD32 ничего не находил, CureIT находил парочку вирусов. А проверил Malwarebytes Anti-Malware, программа обнаружила аж 72 заразы - как можно быть уверенным что теперь система полностью обеззараженна?

И вообще каким постоянным антивирусом лучше всего пользоваться?

Чтобы быть уверенным надо : периодически проверять систему на наличие зловредов.

пользоваться антивирусом и фаерволом со свежими базами

не посещать порно- сайты и тем более не загружать ПО предлагаемое ими.

Не пользоваться креками :bye1: :bye1: среди них много замаскированных зловредов.

- не работать за компьютером с правами администратора

- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript, Adblock)

Можно использовать и OPERA.

Можете почитать например книгу Безопасный Интернет. Универсальная защита для Windows ME - Vista

Каким антивирусо пользоваться ?- Это на любителя. Каждый выбирает сам под и себя исходя из своих убеждений.

Я лично пользуюсь уже несколько лет продуктами Касперского. И проблем не имею.

[Old men]

3kit7:

Прочтите, особенно последний абзац http://www.virustotal.com/ru/sobre.html

[3kit7]

Ну вот еще 3 лога. Я так думаю, что проблема решена. В таком случае, спасибо всем большое за помощь и советы!

P.S. Фаервол - я раньше думал, что это брандмауэр. Похоже это не так, поэтому посоветуйте какой-нибудь хороший фаервол.

Report.txt

ComboFix.txt

Gmer.log

Report.txt

ComboFix.txt

Gmer.log

[шпилька]

3kit7:

посоветуйте какой-нибудь хороший фаервол.

Comodo, ZoneAlarm - бесплатные, очень хорошие.

Скачать можно здесь.

Edited August 26, 2009 by шпилька

[akoK]

Bonjour - нужен?

http://www.softboard.ru/index.php?showtopic=54184

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

[3kit7]

Ни фига оказывается не помогло. Теперь комп начал постоянно подвисать, особенно при загрузке страниц в интернете. После очередного зависания нажал кнопку перезагрузки - при загрузке системы вначале вышло "operating system error...", еще раз перезагрузил - и опять вышло "Не удается запустить Windows XP из-за испорченного или отсутствующего файла \WINDOWS\SYSTEM32\CONFIG\SYSTEM".

Систему удалось загрузить лишь всунув в USB плеер, и выключив модем...

[миднайт]

Возьмите диск с вашим дистрибутивом Windows XP, загрузитесь из консоли восстановления.

Сделайте ревизию системных файлов по команде

sfc /scannow

[thyrex]

По поводу ошибки WINDOWS\SYSTEM32\CONFIG\SYSTEM я уже указывал на повреждение системного реестра в сообщении №3

Проверьте размер файла system.log в этой папке.

Посмотрите здесь http://support.microsoft.com/kb/307545/ru и http://forum.oszone.net/thread-48381.html

Edited August 29, 2009 by thyrex

[lejon_klp]

Ни фига оказывается не помогло. Теперь комп начал постоянно подвисать, особенно при загрузке страниц в интернете. После очередного зависания нажал кнопку перезагрузки - при загрузке системы вначале вышло "operating system error...", еще раз перезагрузил - и опять вышло "Не удается запустить Windows XP из-за испорченного или отсутствующего файла \WINDOWS\SYSTEM32\CONFIG\SYSTEM".

Систему удалось загрузить лишь всунув в USB плеер, и выключив модем...

попробуйте загрузиться в Save mode и потом запустить sfc /scannow (нужен инсталяционный Windows CD)