Перейти к содержимому


Фото
- - - - -

Частично не работает восстановление системы.


  • Закрыто Тема закрыта
10 ответов в этой теме

#1 Alex Twin

Alex Twin

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 30 Ноябрь 2018 - 23:02

Итак, есть домашний компьютер, старенький, Win XP SP3, но к безопасности отношусь серьезно. Сегодня мама с работы принесла флэшку с вирусом, вирус я отправил на вирустотал и стер. Для успокоения решил проверить CureIT'ом компьютер и откатиться на дату до заражения.

     Проверка вирусов не выявила, с помощью avz стер ссылки в реестре на левые файлы (файлов на диске не обнаружил). А вот откатиться не удалось - перезагрузка проходит нормально, но при загрузке пишет что:

 

     Тип события:    Уведомление
Источник события:    SRService
Категория события:    Отсутствует
Код события:    111
Дата:        30.11.2018
Время:        19:01:03
Пользователь:        Н/Д
Компьютер:    MICROSOF-1DE332
Описание:
Восстановление точки "Системная контрольная точка" завершилось неудачно. Изменения в систему не были произведены.
 

Никаких ошибок и прочее, просто неудачно. Место на системном диске есть. В безопасном режиме пробовал. Перепробовал несколько точек, все с одинаковым результатом выше. Создал тестовую после проверки и вычистки. На нее восстанавливается успешно. Потом еще одну - с добавлением папки на рабочий стол - тоже все успешно.

 

  Вопрос - мог ли CureIT попортить системные точки, проверяя их? Есть ли шанс все же восстановиться на дату до заражения, а то я как-то не уверен что компьютер здоров, раньше восстановление работало безукоризненно. Мог ли их убить вирус? Советы может какие-то, куда копать?

 

Логи требуемые прилагаю Прикрепленный файл  MICROSOF-1DE332_Admin_301118_234356.zip   17,76Мб   1 Скачано разПрикрепленный файл  hijacklog.rar   2,07К   0 Скачано разПрикрепленный файл  cureitlog.rar   496,81К   1 Скачано раз



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 30 Ноябрь 2018 - 23:02

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 01 Декабрь 2018 - 10:41

Win XP SP3, но к безопасности отношусь серьезно
К сожалению, части этой фразы противоречат друг другу. XP, как вам хорошо известно, давно снята с поддержки и обновления безопасности для нее не выпускаются. Антивирус не заменяет и не может заменить таких обновлений.

Вопрос - мог ли CureIT попортить системные точки, проверяя их?
Нет. А вот вирус, который вы успешно стерли - не исключено. Ну и проверьте целостность файловой системы, достаточно ли свободного места на диске.

http://forum.oszone.net/post-579997.html



#4 Alex Twin

Alex Twin

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 01 Декабрь 2018 - 10:59

Так, ссылку посмотрел. Читал эту тему, потому что у меня ситуация почти такая же. Точки восстановления не работают, кроме самых поздних и ошибка та же.

    У меня Нортон и Симантек не стояли, под восстановление отведено 12% диска, место есть. Меня смущает что при каждой попытке восстановления - удачной или нет - куда-то пропадают 300-400 Мб памяти на системном диске.

     Ошибок в журнале про остановку мониторинга жесткого диска нет, сама служба на авто и работает. В реестре тоже нормально, насколько могу судить.

   Гайд, приведенный в теме по ссылке тоже читал, оттуда пробовал все, до переустановки самой службы восстановления, это убьет все точки кроме одной, а я надеюсь восстановиться еще.

 



#5 Alex Twin

Alex Twin

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 01 Декабрь 2018 - 11:37

UPD: Кстати, нашел в веб архиве следующую информацию, далее перевожу: Не стоит давать системе восстановления мониторить внешние диски. По умолчанию, большинство внешних дисков мониторятся системой восстановления. Если в содержимое диска внесены изменения, когда система не запущена, при следующем запуске система найдет несоотвествия в логе и испортит все существующие точки восстановления, что потребует их удаления.

     Флэшка считается внешним диском? Дело в том, что сразу как мама ее вставила - я обратил внимание на изменившуюся иконку и увидел две скрытых папки, в одной был .exe вируса, другая - System Volume Information. Вроде на флэшках ее быть не должно, обе стер.


Сообщение было изменено Alex Twin: 01 Декабрь 2018 - 11:39


#6 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 01 Декабрь 2018 - 13:36

Вроде на флэшках ее быть не должно
Должно. Точнее, могут быть. А если иконки при втыкании изменились - возможно, для дисков включен autorun, в свое время это был очень популярный способ заражения. Прописываем троя в авторан - и готово... Поэтому настоятельно рекомендуется авторан на всех дисках отключать (гугл в помощь). Что касается "надежды восстановления" - что именно вы хотите восстанавливать? Можете откатить реестр, система регулярно создает его копии.

#7 Alex Twin

Alex Twin

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 01 Декабрь 2018 - 14:26

Да, именно авторан. ЕХЕ-шник определился на вирустотале как WinNT.autorunner с какими-то цифрами. Про System Volume Information впредь учту.

   Касательно авторана и его отключения есть рекомендации? На данный момент система спрашивает что делать при вставке флэшки, я кликаю - Не выполнять действий. На зараженной было аналогично, я сразу запустил поиск недавно созданных файлов, появились в папке Prefetch, но на сам жесткий диск вроде ничего не проникло, только в реестре прописались на запуск. Реестровые почистил через Avz, на жестком эти файлы не нашел. Я не знаю, сработал ли авторан полностью или частично.

    По поводу восстановления - дал себе доступ к папке восстановления системы, там как минимум с десяток точек на вчерашний день (это мои неудачные попытки восстановления, похоже, системе все же удается создать точку для отката от неудачного восстановления, притом что восстановление, собственно, не удается). Они все по 250-300 Мб, вот куда девается место. Притом что первые точки по 70-75.

    В идеале я бы предпочел привести систему к состоянию на 28 ноября, создать новую точку и удалить все старые. То есть и реестр, и файлы. Средствами Windows этого сделать не получается. Думаю или пробовать ERD Commander, с которым у меня нет опыта или даже не знаю пока что еще.



#8 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 01 Декабрь 2018 - 14:48

Касательно авторана и его отключения есть рекомендации?
https://support.microsoft.com/ru-ru/help/967715/how-to-disable-the-autorun-functionality-in-windows

в реестре прописались на запуск. Реестровые почистил через Avz, на жестком эти файлы не нашел. Я не знаю, сработал ли авторан полностью или частично.
Если прописались в реестре - то сработал, конечно. И было бы неплохо в том же реестре посмотреть, что именно прописалось. Но вы поспешили всё почистить, так что теперь концов не найти. Если файлов нет, то особых причин для отката/восстановления тоже не вижу. Впрочем, всегда можно взять бэкап реестра и, загрузившись с внешнего носителя, подменить нужные файлы. Но, опять-таки, необходимость такой процедуры тоже ставлю под сомнение, т.к. следов заражения в вашей системе, скорее всего, уже нет.

#9 Alex Twin

Alex Twin

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 01 Декабрь 2018 - 15:56

Прописался в Userinit Shell некий c:/documents and settings/admin/temp/fswagz.exe  (по факту файла не было по этому пути) и в shell explorer'a - scrnsave.exe (легальный, виндовский), а в настройки scrnsave.exe - вредоносный logon.scr, который тоже найти не удалось.

 

За ссылку спасибо, проштудирую.



#10 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 01 Декабрь 2018 - 16:29

AutoRun под XP в своё время так достал, что пришлось немного автоматизировать отключение. Кусок исходника прилагается (ключи реестра со значениями можете оттуда позаимствовать):

Spoiler

But a thing of beauty, I know, will never fade away...


#11 Alex Twin

Alex Twin

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 02 Декабрь 2018 - 18:27

Итого: нашел я загрузочную флэшку с ERD Commander, откатил к 28-му числу, оказалось нецелесообразно. Вернул все на место, запретил автозапуск с флэшек, полностью его резать показалось слишком радикальным. Все старые точки удалил. На самую свежую откатывается удачно, как система создаст свою - опробую автоматическую.

    Всем спасибо за ссылки, подсказки и наводки где искать. Вообще, очень удивлен кучей неудачных восстановлений, каждое из которых, тем не менее, оставляло Undo точку мегабайт на 300, при общей емкости папки в 4500 Мб. Свежесозданная точка занимает всего 72.




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых