Нет файла WINDOWS\System32

[Vitaminka]

Добрый день. Пжта помогите. При запуске пишет нет файла WINDOWS\System32\ntos-krnl.exe. Начала лечение как указано ссылка, но при входе в безопасный режим пункт (пункт 3. Запустите проверку* всех дисков с помощью антивирусной утилиты CureIT в безопасном режиме)выдало:

multi(0)disk(0)rdisk(0)partition(1)WINDOWS\System32\ntoskrnl.exe

Что сделать при загрузке с работоспособными данными комп еще работает? Браузер Internet Explorer работает с трудом -долго грузит, а Mozilla Firefox вообще не загружается.

Надеюсь на Вашу помощь.

[zirreX]

Здравствуйте!

Подготовьте логи AVZ v4.35

Запустите AVZ.Меню "Файл" => "Обновление баз".Выберите из меню "Файл"=>"

Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты".

Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог

avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

После выполнения скрипта обязательно перезагрузите компьютер!

Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив

скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы,

полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве

virusinfo_syscheck.zip.

Подготовьте лог RSIT

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Vitaminka]

Спасибо за помощь! Вот мои два отчета log.txt и info.txt.

info.txt

log.txt

info.txt

log.txt

[zirreX]

Прикрепите логи от AVZ

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Vitaminka]

Вот оставшиеся файлы

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[zirreX]

• Выполните скрипт AVZ

Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\drivers\sfc.sys','');QuarantineFile('c:\program files\internet explorer\setupapi.dll','');DeleteFile('c:\windows\system32\drivers\sfc.sys');QuarantineFile('%windir%\system32\sfcfiles.dll','');RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');DeleteFile('%windir%\system32\sfcfiles.bak');DeleteFile('c:\program files\internet explorer\setupapi.dll');RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Сделайте повторные логи AVZ & RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Вы внесли эти записи в файл hosts?

127.0.0.1       localhost127.0.0.1 activate.adobe.com127.0.0.1       activate-sjc0.adobe.com127.0.0.1       practivate.adobe.com127.0.0.1       ereg.adobe.com127.0.0.1       activate.wip3.adobe.com127.0.0.1       wip3.adobe.com127.0.0.1       3dns-3.adobe.com127.0.0.1       3dns-2.adobe.com127.0.0.1       adobe-dns.adobe.com127.0.0.1       adobe-dns-2.adobe.com127.0.0.1       adobe-dns-3.adobe.com127.0.0.1       ereg.wip3.adobe.com127.0.0.1       wwis-dubc1-vip60.adobe.com127.0.0.1       ood.opsource.net127.0.0.1       CRL.VERISIGN.NET127.0.0.1       adobeereg.com127.0.0.1       OCSP.SPO1.VERISIGN.COM127.0.0.1       activate-sea.adobe.com127.0.0.1	www.subdomain.localhost127.0.0.1	www.subdomain.test1.ru127.0.0.1	www.Tools.localhost127.0.0.1	subdomain.localhost127.0.0.1	subdomain.test1.ru127.0.0.1	www.izuminka.loc127.0.0.1	Tools.localhost127.0.0.1	www.localhost127.0.0.1	www.test1.ru127.0.0.1	izuminka.loc127.0.0.2	custom-host127.0.0.2	www.custom127.0.0.1	test1.ru127.0.0.2	custom127.0.0.1	www.Izum-INKA.loc127.0.0.1	Izum-INKA.loc

[Vitaminka]

Ой, а где найти файл hosts?

[goredey]

@Vitaminka, привет, данный файл находится вот тут C:\WINDOWS\system32\drivers\etc\hosts :dontgetit:

[Vitaminka]

goredey, СПАСИБО, нашла.

[goredey]

@Vitaminka, эти изменения вы внесли?

[Vitaminka]

Ух, ну и мароки с вирусами!

-Карантин отправила c:\quarantine.zip на указанный адрес, ответа пока нет.

-Сделала повторные логи AVZ & RSIT.

-Внесла изменение в файл hosts

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[zirreX]

В логе AVZ ничего плохого не нашел.Что с проблемой?Ошибка при запуске всё еще появляется?

-Сделала повторные логи AVZ & RSIT.

Лог RSIT (log.txt) прикрепите пожалуйста.

-Внесла изменение в файл hosts

Т.е. вы ранее внесли эти записи в файл hosts?

Также просканируйте компьютер MBAM и прикрепите лог.

Изменено 27 ноября, 2010 пользователем Fedin

[Vitaminka]

Вот лог RSIT

записи в файл hosts внесла после выполнения скрипта AVZ, а потом сделала повторные логи AVZ & RSIT,

сейчас все еще идет проверка Anti-Malware (нашел 3 инфицированных объекта).

На данный момент при загрузе ошибку не выдал о недостающем файле WINDOWS\System32\ntoskrnl.exe.

Но браузеры никакие не работают кроме Opera. И самое главное не могу выйти на свой виртуальный сайт Joomla(http://localhost/denwer/), очень долго грузит а потом пишет что время вышло, хотя уже увеличила до 180 сек.

(Fatal error: Maximum execution time of 90 seconds exceeded in Z:\home\ИМЯ.loc\www\libraries\joomla\database\database\mysql.php on line 223)

Не знаю в чем дело. Каспер ничего не нашел

info.txt

log.txt

info.txt

log.txt

[zirreX]

• Выполните скрипт AVZ

Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearHostsFile;DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');DeleteFile('%windir%\system32\sfcfiles.bak');DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');DeleteFile('C:\Program Files\Common Files\keylog.txt');BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('sfc');BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится!

[Vitaminka]

У меня все еще идет проверка Anti-Malware, дождаться ее окончания и потом запустить скрипт AVZ?

[zirreX]

Вот лог RSITзаписи в файл hosts внесла

Вносить ничего не надо было, я лишь спросил не вы ли редактировали файл hosts под свои нужды,так как он отличается от стандартного.В последнем скрипте я его очистил (так и должно быть).

Что с проблемой после выполнения последнего скрипта AVZ

У меня все еще идет проверка Anti-Malware, дождаться ее окончания и потом запустить скрипт AVZ?

Дождитесь окончания сканирования, сохраните и прикрепите лог MBAM, затем выполните скрипт AVZ.

[Vitaminka]

Добрый день, я просканировала компьютер MBAM,прикрепила лог.

AVZ cкрипт сделала.

mbam-log-2010-11-28 (02-10-35).txt

mbam-log-2010-11-28 (02-10-35).txt

[zirreX]

Удалите в MBAM

D:\RECYCLER\S-1-5-21-515967899-963894560-839522115-1004\Dd8\keygen\keygen.exe (Worm.Autorun.B) -> No action taken.

[zirreX]

После выполнения скрипта AVZ браузеры заработали?На ваш сайт можете выйти?

[Vitaminka]

Ура все браузеры работают. Но не пойму из-за чего недоступен мой локальный сайт http://izum-inka.loc/administrator/.

Пжта, помогите разобраться. Ответа о файле c:\quarantine.zip все еще нет.

[zirreX]

Ура все браузеры работают. Но не пойму из-за чего недоступен мой локальный сайт http://izum-inka.loc/administrator/. Пжта, помогите разобраться. Ответа о файле c:\quarantine.zip все еще нет.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

beginClearHostsFile;end.

После выполнения скрипта попробуйте зайти на ваш сайт.

Подготовьте лог RSIT

[Vitaminka]

Выполнение скрипта AVZ не помогло. Пишет невозможно найти удалённый сервер

[Yezhishe]

недоступен мой локальный сайт

Локальный - это в смысле, что он на локальной машине? Или в локальной сети?

[Vitaminka]

Локальный - это в смысле, что он на локальной машине? Или в локальной сети?

У меня установлен «Денвер» для разработки сайтов на «домашней» (локальной) Windows-машине без необходимости выхода в Интернет.

Извините уже все работает. УРА-ааа. Спасибо огромное:)

Лог по RSIST прикрепила. А что делать с обнаруженными Anti-Malware вирусами, удалить?

log.txt

log.txt

[zirreX]

УРА-ааа. Спасибо огромное:)Лог по RSIST прикрепила. А что делать с обнаруженными Anti-Malware вирусами, удалить?

Вот и отлично! :)

В MBAM удалите только этот файл.

D:\RECYCLER\S-1-5-21-515967899-963894560-839522115-1004\Dd8\keygen\keygen.exe (Worm.Autorun.B) -> No action taken.

C:\Program Files\Alcohol Soft\Alcohol 120\Plugins\Helper\AlSrvN.exe

- активатор для Alcohol 120%.

В последнем логе RSIT ничего плохого не обнаружил.

Обязательно смените все пароли, так как у вас был червь ворующий пароли!!!

Создайте новую контрольную точку восстановления и удалите зараженную:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить

2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Для предотвращения заражения рекомендую вам придерживаться этих правил:

1.Всегда работайте только под обычным пользователем!

2.Используйте браузер Firefox с дополнением NoScript

Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения

3.Устанавливайте обновления и патчи Windows.

4.Ежедневно обновляйте антивирусные базы.

5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

Изменено 28 ноября, 2010 пользователем Fedin