Войти

Показать полную графическую версию : Не работает SafeMode (XP SP3)


DmitryOlenin
14-01-2010, 18:35
В середине прошлого года подцепил попрошайку. Требование СМС и всё такое.
Версия была продвинутой, на генераторы в инете не отзывалась, помогла только загрузка с LiveCD и удаление файлов руками.

После этого начались проблемы:
1. Перестал работать SafeMode.
2. Стали появляться глюки с explorer.exe
(система "висла" после щелчка правой кнопкой на любом файле, помогало только убитие и запуск снова процесса explorer.exe).
3. Перестал работать журнал "Event Viewer".

Проблему 3 я вроде как решил(путём удаления каталога с логами). Очень помог наш форум с советами :)
Проблема 2 беспокоит не очень сильно (хотя тоже неплохо бы её решить).

Однако неработающий SafeMode напрягает...
При загрузке появляется синий экран:
Stop 0x0000007B (0xF78C6524, 0xC0000034, 0x00000000, 0x00000000).

Тему с аналогичным названием (http://virusinfo.info/showthread.php?t=34629) прочёл.
Большой скрипт рекомендуемый выполнил (безрезультатно).
Существенных системных проблем AVZ не выявил.
В журнале системных событий ни одной ошибки при загрузке.


-----Добавлено после дополнительных проверок-----
Отключил часть служб, которые были рекомендованы и удалил WebDrive, который avz показался подозрительным.
Ещё удалил драйвер Lbd.sys по аналогичной причине.

Также я провёл мини-расследование, может как-то поможет.

В директории Windows\Temp был файл pi.exe.
Который опознался как троян кажется. Удалил.

Возможно "подозрительные" драйвера ubdrvgd и ubarcgd - это драйвера для работы с USB. Установлены были сильно позже появления всех вышеописанных проблем.
Однако попытка их отключения даёт ту же самую Stop 0x0000007B (с другим, правда, первым значением в скобках).

Насчёт процессов:
ezlcd_system_monitor(x86).exe - апплет для клавиатуры.
Древний довольно, окна своего не имеет. Работает нормально. Не вирус.
notepad.exe - не стандартный блокнот, а AkelPad. Не вирус.
speedfan.exe - ну, он и есть. Не вирус.

iskander-k
14-01-2010, 19:41
Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\pi.exe','');
DeleteFile('C:\Windows\Temp\pi.exe');
DelCLSID('TBAS4856-38FG-OJ3Q-36U5-18J8HJ6G3EHV');
DelCLSID('D426290F-9A6A-297C-2B6F-ECA500E88E2F');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.


После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.

В хост файл сами прописали адреса ?

И сделайте этот лог
• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

DmitryOlenin
14-01-2010, 20:06
Спасибо за оперативный ответ.

1. Скрипт AVZ выполню, однако смысла особенного в нём не вижу, т.к. файл (а так же ключи реестра) давно удалил руками.

2. Карантин, как я понимаю, мне нужен тот, который уже есть на данный момент?
То есть если, условно, я сейчас переустановлю AVZ (то есть почищу директорию карантина) и выполню скрипты стандартные скрипты 2,3.
А потом выполню скрипт сбора карантина, будет нормально?

Дело в том, что в нём нет вируса никакого, как я понимаю :( Файла pi.exe, повторюсь, давно уже нет на диске.

3. В файл hosts прописывал строки сам, да.

4. Очистку при помощи ATF Cleaner сделаю для чистоты эксперимента, логи Malwarebytes Anti-Malware выложу ближе к ночи.


Надеюсь, что удастся найти причину проблемы.
Пока что я склоняюсь к тому, что либо поврждены какие-то системные файлы (понять бы какие),
либо в загрузке стоит кривой драйвер, который рушится в SafeMode по какой-то причине.

iskander-k
14-01-2010, 22:28
1. Скрипт AVZ выполню, однако смысла особенного в нём не вижу, т.к. файл (а так же ключи реестра) давно удалил руками. »
А зачем тогда вы выложили старый лог ? Даже если вы удалили файл в реестре остались следы, а скрипт подчистит эти следы. Перестал работать SafeMode. »
Это последствия действия вируса - таким образом он защищает себя. Скрипт данный вам должен исправить и восстановить безопасный режим. После выполнения скрипта сделайте новые логи.

DmitryOlenin
14-01-2010, 23:35
Спасибо, вы меня выручили.
Скрипт полностью восстановил работоспособность SafeMode.
Проблему Safe Mode можно считать решённой.

Malwarebytes Anti-Malware нашёл мне какой-то троян ещё в реестре - почистил.
Полную проверку сделать пока не решился, ибо это займёт часов 8 минимум.
К слову, на безобидный newtstop.dll (из коплекта пилюлек для Radmin) ругается.
А Лаборатория Касперского ещё 29.04.2008 исключила этот файл из базы троянов.

Логи приложу чуть ниже.

iskander-k
15-01-2010, 08:56
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteRepair(16);
RebootWindows(true);
end.


К слову, на безобидный newtstop.dll (из коплекта пилюлек для Radmin) ругается. »
МБАМ не любит креки.
А где лог МБАМ ?

DmitryOlenin
15-01-2010, 13:12
Спасибо.
Хотя, как я понял, проблема решена была с вашей помощью ещё вчера.

Скрипт выполнил.
Скажите пожалуйста, а что он делал? :)
Просто хочется понимать, может в будущем пригодится.

Выполнил быструю проверку Malwarebytes Anti-Malware (30 минут).
Нашёл 8 якобы угроз, и ни одной реальной, к счастью.
Лог прилагаю.

iskander-k
15-01-2010, 13:36
Скрипт выполнил.
Скажите пожалуйста, а что он делал? »
Первый скрипт почистил следы зловреда и восстановил ключи запуска безопасного режима.
ExecuteRepair(10);

второй скрипт должен исправить ключи запуска explorer - вы жаловались на его работу. 2. Стали появляться глюки с explorer.exe
(система "висла" после щелчка правой кнопкой на любом файле, помогало только убитие и запуск снова процесса explorer.exe). »
Просто хочется понимать, может в будущем пригодится. »
Почитайте темуОбучение методам грамотного лечения от вредоносных программ ( http://forum.oszone.net/announcement-87-157.html)

DmitryOlenin
15-01-2010, 14:11
Спасибо за советы и объяснения.

Explorer вроде стал работать нормально после того, как восстановил работу ивентлога.

Сейчас проверил ещё раз - опять перестал работать :(
Правая клавиша на файле - система "задумалась" и всё...
Explorer умер опять :(

Причём происходит это не каждый раз.
То есть сейчас перезапустил процесс - нормально работает правый щёлчок на том же файле.

Теперь вновь жду ваших советов.
Логи только что сделал - прилагаю.

P.S.
Кроме всего прочего произвёл чистку и сжатие реестра при помощи TuneUp.
Также проверил полностью (5 этапов) чекдиском все локальные диски.



---------Добвлено несколько часов спустя---------

Выполнил скрипт AVZ (по совету с форума virusinfo):
begin
ExecuteRepair(13);
end.

Вроде проблема решена.
Точно сказать не могу, но первые ощущения такие.

Drongo
15-01-2010, 18:56
DmitryOlenin, Прикольно получилось. :) Если бы вы этого не написали.
3. В файл hosts прописывал строки сам, да. »
То команду 13 - которая очищает файл hosts вам бы дали наши хелперы.
Выполнил скрипт AVZ (по совету с форума virusinfo):
begin
ExecuteRepair(13);
end. »Если же вы не понимаете назначение команд, то лучше никогда не выполнять скриптов которые были написаны для других участников.

DmitryOlenin
15-01-2010, 19:00
Drongo,
Не понимаю, т.к. не смог найти в гугле описания команд :(

А на форуме VirusInfo (http://virusinfo.info/showpost.php?p=561304&postcount=6) это именно мне порекомендовали выполнить.
Жаль только, что не сказали, что именно делает команда.

В таком случае выходит, что периодические зависания процесса explorer.exe
всё ещё возможно.

Судя по всему тут ситуация очень сложная, потому наверное проще на неё не обращать внимания.

Drongo
15-01-2010, 19:48
Жаль только, что не сказали, что именно делает команда. »Список всех команд восстановления и описание что из них каждая делает - 6.2 Восстановление системы (http://www.z-oleg.com/secur/avz_doc/sys_repair.htm)

мне порекомендовали выполнить. »Вам порекомендовали выполнить команду потому что вы им не объяснили что файл hosts правлен вами. :)

Попробуйте ещё эту рекомендацию.
• Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html).

DmitryOlenin
15-01-2010, 22:10
Drongo,
Спасибо за наводку. Это полезно знать каждому!

Скачал и провёл исследование при помощи SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), 2 раза загрузившись в SafeMode.

Файл отчёта прилагаю. Никаких проблем не выявил, насколько я вижу.
Разве что посчитал Utorrent в корне Windows трояном. Ну да неважно, у меня есть запасной.

Но explorer.exe пока не даёт о себе знать.
Может быть это был какой-то локальный глюк, когда я попытался щёлкнуть на файл именно в тот момент,
когда процесс был занят чем-то своим, а я его отвлёк :)

Drongo
16-01-2010, 23:49
DmitryOlenin, По логу ничего вредного нет. Помониторьте ещё некоторое время систему.

DmitryOlenin
17-01-2010, 17:10
В очередной раз повис процесс explorer.exe (вместе с таскбаром, рабочим столом и т.д., как обычно).

Попробую обновить его на актуальную версию (у меня 6.0.2900.5512, а поставлю 6.0.2900.5634).
А заодно, возможно, исправлю ситуацию.

Drongo
17-01-2010, 19:12
DmitryOlenin, Попробуйте создать тему в разделе - Устранение критических ошибок Windows (http://www.forum.oszone.net/forum-73.html), сделав все необходимые правила того раздела. Так же дайте ссылку на эту тему, чтобы не было желания вернуть вас в лечение. :)

DmitryOlenin
19-01-2010, 13:12
Drongo,
Спасибо, однако там в правилах (http://www.forum.oszone.net/announcement-73-93.html) указано:
В форуме "Устранение критических ошибок Windows" обсуждаются только ошибки операционных систем Windows 2000/XP/2003/Vista, отображаемые в журнале событий (eventvwr.msc) и на синих экранах, также именуемых Blue Screen of Death или BSOD, а также способы выявления причин и устранения таких ошибок.

То есть повисания explorer.exe (которое, кстати, продолжаются и по сей день) в это прокрустово ложе не вписываются :(

Drongo
19-01-2010, 15:01
DmitryOlenin, Так в том-то и дело, посмотрев по журналу событий отображаемые в журнале событий (eventvwr.msc) »об ошибках Explorer вы можете создать тему с соответствующими логами для этого раздела.

DmitryOlenin
19-01-2010, 16:07
Drongo,
В том-то и проблема, что в журнале событий никаких упоминаний об этих зависаниях нет вовсе.

То есть процесс explorer.exe виснет. Трей, таскбар, рабочий стол становятся недоступны,
а в журнале ни одной строчки не появляется.




© OSzone.net 2001-2012