![]() |
Никуда не зайти(безп режим, дисп задач, explorer)
Всем привет. Вот на днях принесли мне ноутбук с кучей вирусов. С самого начала:
- в сейв мод не зайти, сразу на перезагрузку, я так думаю вируса поработали. - не заходил в дисп задач - выключено администратором, хоть я и заходил под админом - тоже вируса поработали( ну это ладно, можно включить в винде). - запуск сканеров антивирусов блочил, не давал запускать. Ну эт все ладно, пошаманив немного сканер запустился, нашел кучу бяк, благопалучно удалил. Вот только я накосячил и не просмотрел весь список найденных вирусов. Выделил все - fix/delete. И вот теперь, после перезагрузки не грузится рабочий стол, только обоина видна. В Дисп задач по прежнему не зайти. В Безопасный режим тоже. Вот я и хотел бы у вас спросить, возможно ли как нибуть восстановить систему? Зы: винда - Win Xp Professional зызы: сейчас в систему получается зайти только через диск winXPE зызызы: Пробывал восстановить explorer через AVZ - не помогло. В реестре вроде все правильно. |
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config). 3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть). 4. Введите имя для раздела, который вы загрузили, например, MyHive. посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой) не забудьте выгрузить куст Можете попробовать заменить файл userinit.exe на такой же. взяты с чистой системы. Также загрузить файл SYSTEM, смотрим во всех ветках реестра ControlSet00#\Control\Session Manager\SubSystems где 00# = 001, 002, ... Параметр: Windows Цитата:
см. также Как восстановить работу системы после повреждения системного реестра, препятствующего запуску Windows XP Как выполнить обновление (переустановку) Microsoft Windows XP - начать с раздела "Восстановление системы" Если не помогло, покажите что у вас в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ Цитата:
|
Заранее спасибо, завтра на работе попробую. Если что, отпишусь.
Да AVZ запускается но при загрузке через диск winXPE |
Цитата:
|
Цитата:
Цитата:
Цитата:
|
Цитата:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System http://www.oszone.net/3632/#7 |
Проделал выше указанные операции кроме
Цитата:
Хотелось бы спросить как дальше действовать? Надо быть уверенным в работоспособности системы, прежде чем отдавать сие чудо. |
|
Логи делаю. Еще хотел спросить, можно ли как нибуть пофиксить безопасный режим? Сейчас он в него не заходит - сразу на перезагрузку
|
Цитата:
сохраните как restore_safebot.reg, примените Код:
Windows Registry Editor Version 5.00 |
Вложений: 2
смог сделать логи только через hijackthis и Deckard's System Scanner. Avz не хочет запускаться, хотя версия рабочая.
При перезагрузке DisableTaskMgr выставляется на 1. Что то в нем еще живет?! |
Diak, зверья ещё полно, зоопарк. Вы с помощью AVPTool проверяли систему?
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked". Код:
O2 - BHO: HujApp Class - {8E9F39F8-40EE-4dd2-A439-2A90224E5DB5} - C:\WINDOWS\system32\prxsmr.dll 1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению Как использовать ComboFix - how-to-use-combofix Скачайте SDFix - описание тут, проверьте компьютер, после проверки прикрепите Report.txt к сообщению. После Сombofix и SDFix AVZ должен заработать, если не заработает, скачайте AVZ, переименованный в game.exe здесь или avz.exe здесь (если не запустится, попробуйте переименовать в 123.pif) и сделайте логи |
не знаю нормально ли это... пофиксил через hijackthis.exe. Запустил ComboFix, когда началось сканирование, вылетел вирус(не помню как он называется, но суть такая: вылетает небольшое окно в котором написано: бла бла бла компьютер будет выключен через столько то секунд).
Нет, через AVPTool я не проверял. Др веб юзал |
Diak, перезагрузитесь, и сразу запускаете ComboFix, если будет то же самое, перезагрузитесь и начните со следующего шага (SDFix - в безопасном режиме) и AVZ, не забудьте вместе с логами AVZ выложить лог hijackthis
|
Вложений: 2
перезагрузился, запустил Combofix, при сканировании опять вылетела эта штука, но до выключения он успел что то сделать. Все сделал Sdfix'ом затем запустил AVZ. Логи готовы
зы: уже видно что ему стало получше =) |
Отключите восстановление системы!
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет. Код:
begin Код:
begin пофиксите в hijackthis Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html Запустите снова Combofix, если не запустится, скачайте ещё раз и запустите, прикрепите C:\ComboFix.txt к след. сообщению. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected" Откройте лог и скопируйте в сообщение. тут есть картинки по использованию Malwarebytes' Anti-Malware. Можете также проверить систему с помощью AVPTool Повторите логи virusinfo_syscheck.zip (AVZ уже можно использовать обычный, обновив базы), hijackthis (у вас HijackThis v1.99.1 - скачайте новую версию HijackThis) и повторите логи DSS |
Цитата:
|
сделаем паузу до понедельника? Ноут на работе остался.
|
Diak, Нет проблем :)
|
Вложений: 4
Добрый день, продолжим? =)
Все сделал что написано выше. Вот логи ЗЫ: Письмо отправил |
Сейчас установил Dr Web но запустить не получается, какая то бяка блокирует
|
сейчас еще решил проверить быстрым сканом через Curelt. Нашел 5-6 файлов со статусом: win32.sector 5. Один из этих файлов rundll32.exe. Лечить их?
|
Diak,
Обычный AVZ не запускается? Cureit и AVPTool тоже не запускаются? Нет лога extra.txt от DSS Еще раз отключите восстановление системы, скачайте и запустите IceSword. Выберите в меню File, появится аналог проводника, найдите в нем указанные файлы Цитата:
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет. Код:
begin Код:
begin Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера". Сохраните как fix.reg и примените Код:
REGEDIT4 Удалите из планировщика заданий Microsoft_Hardware_Launch_setup_exe.job Сделайте новые логи AVZ (запустите обычный AVZ - не версию game.exe, обновите базы) и hijackthis Цитата:
Цитата:
|
AVZ нормальный( не game) не запускается. Dr web тоже. Curelt запускается нормально.
Цитата:
Цитата:
quarantine.zip чуть позже отправлю, до дома доберусь |
Вложений: 1
hijackthis.rar
отправил по мылу и залил в файлообменник. |
Diak, часть файлов из карантина отправлена в вирлаб на доп. анализ
У вас файловый вирус Virus.Win32.Sality.y по Касперскому (по DrWeb это Win32.sector5), м.б. модификация, лечите с помощью cureit (лечить до тех пор пока не перестанет обнаруживаться), AVPTool или Dr.Web LiveCD Цитата:
Можете отправить файлы (или целиком карантин), зараженные этим вирусом в ЛК на newvirus@kaspersky.com или в лабораторию DrWeb для уточнения корректности лечения вашей версии вируса (в вашем карантине это файлы vedxg6ame4.exe, mrofinu27.exe в архиве avz00007.dta и, как вы раньше упоминали, rundll32.exe) После лечения рекомендую выполнить восстановление системных файлов - sfc /scannow и сделать лог AVZ virusinfo_syscheck.zip |
понятно.
Сейчас начал проверять последним Курельтом. Проверил 1/3 но уже 79 win32.Sector5 нашел. Такое ощущение, что он exe формат заражает( все, что он нашел - exe). |
|
Желательно сначала пролечится в защищенном режиме. Если после очередной проверки ничего не будет найдено, то тогда можно переходить к лечению в обычном режиме.
|
закончил, 220 нашел =). Вроде все исцелил/удалил. Сейчас надеюсь нормально перезагружусь и еще проверю
PavelA_VI если вы имеете ввиду в безопасном режиме, то туда не зайти... Правка реестра уже не помогает ^^ |
Ура! Вобщем проверил я еще несколько раз - ничего не нашел. Сегодня утром компутер устанавливать анивирус еще не хотел, но после удаление win32.Sality все нормально заработало. Всем большое спасибо, особенно Pili ! С меня пиво/сок ^^ :clapping: :oszone:
|
Diak, пожалуйста :)
С помошью AVPTool ещё проверьте систему и сделайте логи AVZ virusinfo_syscheck.zip (2-ой скрит), hijackthis для контроля |
уже отдал ноут, ибо хозяева напрягали. Хотел спросить, как курельт нашел сегодня столько заразы, а раньше это игнорировал? Это как то связано с отправкой карантина.зип на мыло?
|
Цитата:
Цитата:
|
Никто не пробовал после этого вируса грузиться в Safe Mode? Попробуйте и будете удивлены. Винда не будет грузится. Поврежден реестр. Отсюда вопрос. Как починить реестр?
|
esel, если у вас проблема, создайте отдельную тему, выполнив требуемые действия.
|
Время: 03:24. |
Время: 03:24.
© OSzone.net 2001-