Показать полную графическую версию : Не работает SafeMode (XP SP3)
DmitryOlenin
14-01-2010, 18:35
В середине прошлого года подцепил попрошайку. Требование СМС и всё такое.
Версия была продвинутой, на генераторы в инете не отзывалась, помогла только загрузка с LiveCD и удаление файлов руками.
После этого начались проблемы:
1. Перестал работать SafeMode.
2. Стали появляться глюки с explorer.exe
(система "висла" после щелчка правой кнопкой на любом файле, помогало только убитие и запуск снова процесса explorer.exe).
3. Перестал работать журнал "Event Viewer".
Проблему 3 я вроде как решил(путём удаления каталога с логами). Очень помог наш форум с советами :)
Проблема 2 беспокоит не очень сильно (хотя тоже неплохо бы её решить).
Однако неработающий SafeMode напрягает...
При загрузке появляется синий экран:
Stop 0x0000007B (0xF78C6524, 0xC0000034, 0x00000000, 0x00000000).
Тему с аналогичным названием (http://virusinfo.info/showthread.php?t=34629) прочёл.
Большой скрипт рекомендуемый выполнил (безрезультатно).
Существенных системных проблем AVZ не выявил.
В журнале системных событий ни одной ошибки при загрузке.
-----Добавлено после дополнительных проверок-----
Отключил часть служб, которые были рекомендованы и удалил WebDrive, который avz показался подозрительным.
Ещё удалил драйвер Lbd.sys по аналогичной причине.
Также я провёл мини-расследование, может как-то поможет.
В директории Windows\Temp был файл pi.exe.
Который опознался как троян кажется. Удалил.
Возможно "подозрительные" драйвера ubdrvgd и ubarcgd - это драйвера для работы с USB. Установлены были сильно позже появления всех вышеописанных проблем.
Однако попытка их отключения даёт ту же самую Stop 0x0000007B (с другим, правда, первым значением в скобках).
Насчёт процессов:
ezlcd_system_monitor(x86).exe - апплет для клавиатуры.
Древний довольно, окна своего не имеет. Работает нормально. Не вирус.
notepad.exe - не стандартный блокнот, а AkelPad. Не вирус.
speedfan.exe - ну, он и есть. Не вирус.
iskander-k
14-01-2010, 19:41
Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.
* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\pi.exe','');
DeleteFile('C:\Windows\Temp\pi.exe');
DelCLSID('TBAS4856-38FG-OJ3Q-36U5-18J8HJ6G3EHV');
DelCLSID('D426290F-9A6A-297C-2B6F-ECA500E88E2F');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
После всех процедур выполните скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.
В хост файл сами прописали адреса ?
И сделайте этот лог
• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).
DmitryOlenin
14-01-2010, 20:06
Спасибо за оперативный ответ.
1. Скрипт AVZ выполню, однако смысла особенного в нём не вижу, т.к. файл (а так же ключи реестра) давно удалил руками.
2. Карантин, как я понимаю, мне нужен тот, который уже есть на данный момент?
То есть если, условно, я сейчас переустановлю AVZ (то есть почищу директорию карантина) и выполню скрипты стандартные скрипты 2,3.
А потом выполню скрипт сбора карантина, будет нормально?
Дело в том, что в нём нет вируса никакого, как я понимаю :( Файла pi.exe, повторюсь, давно уже нет на диске.
3. В файл hosts прописывал строки сам, да.
4. Очистку при помощи ATF Cleaner сделаю для чистоты эксперимента, логи Malwarebytes Anti-Malware выложу ближе к ночи.
Надеюсь, что удастся найти причину проблемы.
Пока что я склоняюсь к тому, что либо поврждены какие-то системные файлы (понять бы какие),
либо в загрузке стоит кривой драйвер, который рушится в SafeMode по какой-то причине.
iskander-k
14-01-2010, 22:28
1. Скрипт AVZ выполню, однако смысла особенного в нём не вижу, т.к. файл (а так же ключи реестра) давно удалил руками. »
А зачем тогда вы выложили старый лог ? Даже если вы удалили файл в реестре остались следы, а скрипт подчистит эти следы. Перестал работать SafeMode. »
Это последствия действия вируса - таким образом он защищает себя. Скрипт данный вам должен исправить и восстановить безопасный режим. После выполнения скрипта сделайте новые логи.
DmitryOlenin
14-01-2010, 23:35
Спасибо, вы меня выручили.
Скрипт полностью восстановил работоспособность SafeMode.
Проблему Safe Mode можно считать решённой.
Malwarebytes Anti-Malware нашёл мне какой-то троян ещё в реестре - почистил.
Полную проверку сделать пока не решился, ибо это займёт часов 8 минимум.
К слову, на безобидный newtstop.dll (из коплекта пилюлек для Radmin) ругается.
А Лаборатория Касперского ещё 29.04.2008 исключила этот файл из базы троянов.
Логи приложу чуть ниже.
iskander-k
15-01-2010, 08:56
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
begin
ExecuteRepair(16);
RebootWindows(true);
end.
К слову, на безобидный newtstop.dll (из коплекта пилюлек для Radmin) ругается. »
МБАМ не любит креки.
А где лог МБАМ ?
DmitryOlenin
15-01-2010, 13:12
Спасибо.
Хотя, как я понял, проблема решена была с вашей помощью ещё вчера.
Скрипт выполнил.
Скажите пожалуйста, а что он делал? :)
Просто хочется понимать, может в будущем пригодится.
Выполнил быструю проверку Malwarebytes Anti-Malware (30 минут).
Нашёл 8 якобы угроз, и ни одной реальной, к счастью.
Лог прилагаю.
iskander-k
15-01-2010, 13:36
Скрипт выполнил.
Скажите пожалуйста, а что он делал? »
Первый скрипт почистил следы зловреда и восстановил ключи запуска безопасного режима.
ExecuteRepair(10);
второй скрипт должен исправить ключи запуска explorer - вы жаловались на его работу. 2. Стали появляться глюки с explorer.exe
(система "висла" после щелчка правой кнопкой на любом файле, помогало только убитие и запуск снова процесса explorer.exe). »
Просто хочется понимать, может в будущем пригодится. »
Почитайте темуОбучение методам грамотного лечения от вредоносных программ ( http://forum.oszone.net/announcement-87-157.html)
DmitryOlenin
15-01-2010, 14:11
Спасибо за советы и объяснения.
Explorer вроде стал работать нормально после того, как восстановил работу ивентлога.
Сейчас проверил ещё раз - опять перестал работать :(
Правая клавиша на файле - система "задумалась" и всё...
Explorer умер опять :(
Причём происходит это не каждый раз.
То есть сейчас перезапустил процесс - нормально работает правый щёлчок на том же файле.
Теперь вновь жду ваших советов.
Логи только что сделал - прилагаю.
P.S.
Кроме всего прочего произвёл чистку и сжатие реестра при помощи TuneUp.
Также проверил полностью (5 этапов) чекдиском все локальные диски.
---------Добвлено несколько часов спустя---------
Выполнил скрипт AVZ (по совету с форума virusinfo):
begin
ExecuteRepair(13);
end.
Вроде проблема решена.
Точно сказать не могу, но первые ощущения такие.
DmitryOlenin, Прикольно получилось. :) Если бы вы этого не написали.
3. В файл hosts прописывал строки сам, да. »
То команду 13 - которая очищает файл hosts вам бы дали наши хелперы.
Выполнил скрипт AVZ (по совету с форума virusinfo):
begin
ExecuteRepair(13);
end. »Если же вы не понимаете назначение команд, то лучше никогда не выполнять скриптов которые были написаны для других участников.
DmitryOlenin
15-01-2010, 19:00
Drongo,
Не понимаю, т.к. не смог найти в гугле описания команд :(
А на форуме VirusInfo (http://virusinfo.info/showpost.php?p=561304&postcount=6) это именно мне порекомендовали выполнить.
Жаль только, что не сказали, что именно делает команда.
В таком случае выходит, что периодические зависания процесса explorer.exe
всё ещё возможно.
Судя по всему тут ситуация очень сложная, потому наверное проще на неё не обращать внимания.
Жаль только, что не сказали, что именно делает команда. »Список всех команд восстановления и описание что из них каждая делает - 6.2 Восстановление системы (http://www.z-oleg.com/secur/avz_doc/sys_repair.htm)
мне порекомендовали выполнить. »Вам порекомендовали выполнить команду потому что вы им не объяснили что файл hosts правлен вами. :)
Попробуйте ещё эту рекомендацию.
• Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html).
DmitryOlenin
15-01-2010, 22:10
Drongo,
Спасибо за наводку. Это полезно знать каждому!
Скачал и провёл исследование при помощи SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), 2 раза загрузившись в SafeMode.
Файл отчёта прилагаю. Никаких проблем не выявил, насколько я вижу.
Разве что посчитал Utorrent в корне Windows трояном. Ну да неважно, у меня есть запасной.
Но explorer.exe пока не даёт о себе знать.
Может быть это был какой-то локальный глюк, когда я попытался щёлкнуть на файл именно в тот момент,
когда процесс был занят чем-то своим, а я его отвлёк :)
DmitryOlenin, По логу ничего вредного нет. Помониторьте ещё некоторое время систему.
DmitryOlenin
17-01-2010, 17:10
В очередной раз повис процесс explorer.exe (вместе с таскбаром, рабочим столом и т.д., как обычно).
Попробую обновить его на актуальную версию (у меня 6.0.2900.5512, а поставлю 6.0.2900.5634).
А заодно, возможно, исправлю ситуацию.
DmitryOlenin, Попробуйте создать тему в разделе - Устранение критических ошибок Windows (http://www.forum.oszone.net/forum-73.html), сделав все необходимые правила того раздела. Так же дайте ссылку на эту тему, чтобы не было желания вернуть вас в лечение. :)
DmitryOlenin
19-01-2010, 13:12
Drongo,
Спасибо, однако там в правилах (http://www.forum.oszone.net/announcement-73-93.html) указано:
В форуме "Устранение критических ошибок Windows" обсуждаются только ошибки операционных систем Windows 2000/XP/2003/Vista, отображаемые в журнале событий (eventvwr.msc) и на синих экранах, также именуемых Blue Screen of Death или BSOD, а также способы выявления причин и устранения таких ошибок.
То есть повисания explorer.exe (которое, кстати, продолжаются и по сей день) в это прокрустово ложе не вписываются :(
DmitryOlenin, Так в том-то и дело, посмотрев по журналу событий отображаемые в журнале событий (eventvwr.msc) »об ошибках Explorer вы можете создать тему с соответствующими логами для этого раздела.
DmitryOlenin
19-01-2010, 16:07
Drongo,
В том-то и проблема, что в журнале событий никаких упоминаний об этих зависаниях нет вовсе.
То есть процесс explorer.exe виснет. Трей, таскбар, рабочий стол становятся недоступны,
а в журнале ни одной строчки не появляется.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.