41 ответов в этой теме

[torment]

Добрый вечер!

У меня возникла следующая проблема: в определенный момент (похоже что после того, как пользовались старым IE вместо Firefox - лисица не хотела открывать джимейл) компьютер выключился и при следующей перезагрузке вылетает BSOD, снова перегружает - опять BSOD и так далее. Компьютер работает в безопасном режиме, слава богу =)

Комп - старый ноут, стоит WIN XP gamers edition ( 2600.xpsp_sp2_qfe.070227-2300: service pack 2).
Установлен доктор веб последний версии, регулярно обновлялся, полную проверку делал достаточно давно.

А теперь другие вирусные симптомы:
при запуске доктор веба появляется заставка загрузки и комп зависает не заходит на сайт доктор веба

Правила создания новой темы прочитал внимательно, но провести ни одно сканирование НЕ получается:
- скачал cureit, архив, создал папку, все по инструкции, запускаю бат файл - выдается куча ошибок (ошибка: системе не удалось найти указанный раздел или параметр реестра) - 10 штук, далее: операция успешно завершена, запускаю cureit винда зависает.
- hijack не устанавливается, пишет : ошибка: данная установка запрещена политикой выбранной системным администратором
- gmer скачал, запускается, начинает проверку, но секунд через 10 вылезает ошибка: Инструкция по адресу 0х0045с887 обратилась к памяти по адресу 0х00000008. Память не может быть read. И приложение останавливается.


Пожалуйста, подскажите как быть, обещаю в точности испонять все инструкции, в компьютере правда не очень силен, но обязательно постараюсь разобраться везде где нужно. Есть маленькая проблема - не работает CDRW, если это понадобится. Кажется понимаю свои ошибки - не проапдейтил виндоуз и использовал старый эксплорер.

[Borka]

Диспетчер задач и Редактор реестра запустить можете?

[torment]

Через пуск - выполнить могу открыть regedit. В диспетчер задач через ctr-alt-del зайти не получается, где еще его искать не знаю(в панели управления не нашел) (

[torment]

Попробовал запустить диспетчер задач 3мя разными способами - он не грузится, просто ничего не происходит.

[torment]

Скачал Process explorer, вот результаты:

Process PID CPU Description Company Name
System Idle Process 0 94.06
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 528 Диспетчер сеанса Windows NT Корпорация Майкрософт
csrss.exe 580 Client Server Runtime Process Microsoft Corporation
winlogon.exe 604 Программа входа в систему Windows NT Корпорация Майкрософт
services.exe 648 0.99 Приложение служб и контроллеров Корпорация Майкрософт
svchost.exe 812 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 884 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1000 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1040 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1072 Generic Host Process for Win32 Services Microsoft Corporation
lsass.exe 660 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1560 Проводник Корпорация Майкрософт
firefox.exe 1312 4.95 Firefox Mozilla Corporation
procexp.exe 440 Sysinternals Process Explorer Sysinternals - www.sysinternals.com

[Borka]

Сделайте экспорт веток
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer

А что, антивируса у Вас нет?

Да, и прицепите файлы c:\WINDOWS\Minidump - желательно посвежее.

Сообщение было изменено Borka: 24 Февраль 2010 - 00:57
добавлено

[torment]

Сделайте экспорт веток
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

- такого не нашел, остальные ветки экспортировал, заархивировал, файлы называются так же как и экспортированная в него ветка.


А что, антивируса у Вас нет?

Есть, Dr. Web 5, регулярно обновлялся, думаю последнее обновление есть. Я об этом писал в первом посте. Последняя полная проверка была достаточно давно правда.


В папке c:\WINDOWS\Minidump есть только один файл, заархивировал его и прикрепил!

Прикрепленные файлы:

•  Mini021910_01.rar   26,33К   26 Скачано раз
•  export_reestra.rar   9,17К   45 Скачано раз

[PAUK]

Да, у Вас видно былО что-то:
Mini021910-01.dmp 19.02.2010 22:33:06 17B.tmp SYSTEM_THREAD_EXCEPTION_NOT_HANDLED 0x1000007e 0xc0000005 0xee8eb3d6 0xf7a45a94 0xf7a45790 17B.tmp+13d6 32-бит

[Borka]

Ой как интересно:
Debug session time: Fri Feb 19 21:30:50.724 2010 (GMT+2)
...
Probably caused by : 17B.tmp ( 17B+13d6 )

kd> lmvm 17B
start end module name
ee8ea000 ee8f4000 17B T (no symbols)
Loaded symbol image file: 17B.tmp
Image path: 17B.tmp
Image name: 17B.tmp
Timestamp: ***** Invalid (FFFFE744)
CheckSum: 0000C6ED
ImageSize: 0000A000
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0

Это, похоже, суслик падает.

Ищите и засылайте в Вирлаб:
C:\WINDOWS\system32\5594d550.exe
C:\WINDOWS\system32\bnRK4OR.exe
C:\RECYCLER\S-1-5-21-5575068808-8438266836-602153061-9178\winsystem.exe

Поищите svchost.exe - НЕ в каталоге C:\WINDOWS\system32\

Попробуйте удалить из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение ключа "Taskman"
Попробуйте удалить из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ключ "taskmgr.exe"

[torment]

Ищите и засылайте в Вирлаб:
C:\WINDOWS\system32\5594d550.exe
C:\WINDOWS\system32\bnRK4OR.exe
- эти 2 нашел и скопировал в отдельную папку. Прошу прощения за глупый вопрос, но как отправить эти файлы в вирлаб? Сайт drweb не грузится и кнопка send visrus не работает.


C:\RECYCLER\S-1-5-21-5575068808-8438266836-602153061-9178\winsystem.exe
- этот файл не находится стандартным поисковиком. Отображение скрытых файлов и папок включил.
Стал искать спец проги для поиска файлов: REM установился, но не запускается, поставил effective file search, он нашел нужный файл, я его скопировал в папку к 2м предыдущим файлам, но его не видно и я не могу его выделить, но он есть в папке (предлагает заменить при повторном копировании).

Поищите svchost.exe - НЕ в каталоге C:\WINDOWS\system32\
- стандартным поисковиком не находит ничего, effective file search нашел только 1 файл, он в C:\WINDOWS\system32\


Попробуйте удалить из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение ключа "Taskman"
- значение удалил, теперь там пусто

Попробуйте удалить из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ключ "taskmgr.exe"
-такой ключ не нашел

[torment]

Завтра весь день на работе, вечером сделаю все, что будет нужно.

Большое спасибо всем кто мне помагает!

[YVS]

значение удалил, теперь там пусто

Сбросьте значение параметра Userinit в ветке [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] в дефолт
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

- эти 2 нашел и скопировал в отдельную папку. Прошу прощения за глупый вопрос, но как отправить эти файлы в вирлаб? Сайт drweb не грузится и кнопка send visrus не работает.

Форма отправки


Еще сбросьте ветку Image File Execution Options в дефолт
Рецепт есть здесь

Сообщение было изменено YVS: 24 Февраль 2010 - 10:23
Добавил сообщение

[torment]

Сбросьте значение параметра Userinit в ветке [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] в дефолт
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
- сделал

Не работает сайт drweb.com о чем я писал выше, соответственно ссылка http://vms.drweb.com/sendvirus тоже не открывается, иначе не стал бы задавать вопрос. Как мне эти файлы передать лучше в вирлаб, ведь здесь их прикреплять, как я понимаю, не нужно. Может я на имейл кому-нибудь их вышлю?
И что делать с 3-им файлом winsystem.exe, в винде он не отображается, его находит только утилита effictive file search.


Еще сбросьте ветку Image File Execution Options в дефолт
Рецепт есть здесь
-сделал

[Borka]

- сделал

Убедитесь, что записи не восстанавливается.

И что делать с 3-им файлом winsystem.exe, в винде он не отображается, его находит только утилита effictive file search.

На выбор - ФАР или ТС. Попробуйте убить файл, если не получится - попробуйте переименовать. Вы же заслали его в Вирлаб?

[YVS]

Не работает сайт drweb.com о чем я писал выше,

hijack запускается? Если нет - попробуйте переименовать его

[torment]

hijack запускается? Если нет - попробуйте переименовать его
- попробовал, эффект тот же: установка запрещена политикой...

Убедитесь, что записи не восстанавливается.
-эээ, опять туда гадость прописалась(
C:\RECYCLER\S-1-5-21-5575068808-8438266836-602153061-9178\winsystem.exe

Вы же заслали его в Вирлаб?
- Я уже в который раз задаю вопрос: куда мне эти файлы отослать (уже заархивировал 3 нужных файла), чтобы их передали в вирлаб? У меня страница отправки НЕ ОТКРЫВАЕТСЯ!!! Может я кому-нибудь из сотрудников на почту отправлю архив, а они в вирлаб?

[Borka]

hijack запускается? Если нет - попробуйте переименовать его
- попробовал, эффект тот же: установка запрещена политикой...

Может, есть ветка HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies ?

Убедитесь, что записи не восстанавливается.
-эээ, опять туда гадость прописалась(
C:\RECYCLER\S-1-5-21-5575068808-8438266836-602153061-9178\winsystem.exe

Попробуйте переименовать файл. Какие еще записи восстанавливаются?

[torment]

Может, есть ветка HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies ?
- такой ветки нету.


Попробуйте переименовать файл. Какие еще записи восстанавливаются?
- восстанавливал только эту запись, как мне сказали.

Этот файл виден только в FARе
C:\RECYCLER\S-1-5-21-5575068808-8438266836-602153061-9178\winsystem.exe
переименовать не получается,
удалить его тоже не получается, пишет file sharing violation.

[Borka]

Попробуйте переименовать файл. Какие еще записи восстанавливаются?
- восстанавливал только эту запись, как мне сказали.

Не только.

Этот файл виден только в FARе
C:\RECYCLER\S-1-5-21-5575068808-8438266836-602153061-9178\winsystem.exe
переименовать не получается,
удалить его тоже не получается, пишет file sharing violation.

Есть возможность загрузиться с внешнего носителя?

[torment]

Попробуйте переименовать файл. Какие еще записи восстанавливаются?
- Еще я сбрасывал ветку Image File Execution Options в дефолт, но не знаю как проверить изменилась ли она относительно дефолта.


Есть возможность загрузиться с внешнего носителя?
- К сожалению такой возможности сейчас нету(