Много проблем на двух ПК. Помощь

[Gennagy_Tsementovski]

Заранее извиняюсь за то что нарушил правила. Завтра скину логи с AVZ дабы очень срочно нужна помощь. (как ни странно) Первый раз на форумах и не в курсе как быстро тут ответят.

Вкратце. Комп с работы. Windows XP. Откуда взялась проблема не знаю.

1. Как только запустилась винда выдает сообщение об ошибке - (верхушка) Winlogon.exe (Текст) Приложение или библиотека С:\ Windows\Sistem32\sfc.dll не является образом программы для Windows NT.

2. Вставил жесткий диск он выдал сообщение о том что для устройства Volume (Хотя диск My pasport) не нашлось драйверов. И оно не отображается в Мой компьютер. (любое устройство будь то флешка или расширитель УСБ пишет в табличке в нижнем правом углу как Volume) флешка запускается.

3. Самое интересное то что этот "наверно и не один вирус" заблокировал все сетевые подключения. Захожу в сетевые подключения он думает около пяти минут а потом выдает пустое окно. Пытаюсь закрыть виснет. Ни локальной ни само собой интернет.

4.Пытался запустить службы (к примеру) Брандмауер Windows\ общий доступ к Интернету (ICS) На локальный компьютер. Ошибка 1058. Не удалось запустить дочернюю службу.  Еще служба "Рабочая станция на локальный компьютер" Ошибка: 193: 0хс1. Пытался и другие запустить все одно либо дочерняя служба либо ошибка.

5. Диспетчер не открывается. 

6. Проверил Dr. web и утилитой касперского. Оба нашли только один вирус. Касперский распознал его как Trojan.Downloader.banload.aalal . Удалил но ничего не изменилось.

Проверял AVZ но так как я в нем не разбираюсь особо ничего не понял. в CMD выполняю Ping .......... ничего не видит. С других компов его тоже не видно

7. Имеет значение или нет но... на другом компьютере тоже самое. В журнале система три сообщения. (Вложенный архив)

 

P. S.

 

Завтра я обязательно скину скрины ошибок, лог АВЗ и всё что еще потребуете)) попробую всё что подскажите по данной теме.

 

Я понимаю что много писанины а вы работаете на основе логов в которых всё описано. Но может на основе выше сказанного что то уже можете подсказать. Или скажите что нужно сделать, прислать вас для того чтобы разобраться в проблеме.

Фото с ошибками.rar

[kmscom]

Порядок оформления запроса о помощи

[Gennagy_Tsementovski]

Выполнил как положено.

CollectionLog-2016.06.26-11.26.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cckayy.exe','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cckayy.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4879');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Gennagy_Tsementovski]

@thyrex, Подскажите если можно. Что именно случилось и как вы это исправили. Просто он видимо по локальной сети гуляет и это может повторится. Могу ли я сделать то же самое на други ПК или нужно делать новые логи и опять всё по новой? Это какой то новый виру я так понимаю? Обьясните пожалуйста как будет время

[thyrex]

Пока идет зачистка мусора. Не уверен, что тут не проблемы самой системой.

 

Скрипты пишутся на основании собранных логов под конкретный компьютер. А потому применять на других машинах не стоит.

[Gennagy_Tsementovski]

@thyrex, получилось только на третий раз. Первые два закончились синим экраном.

1) BAD pool header......Technical information **** STOP : 0x00000019 (0x00000020, 0xE1A64910, 0xE1A64938, 0x0C050201).

2) BAD pool header.....Technical information **** STOP : 0x00000019 (0x00000020, 0xE18C73C0, 0xE18C74A0, 0x0C1C0203).

 

Новые логи

CollectionLog-2016.06.26-13.43.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Gennagy_Tsementovski]

@thyrex, Вот.  А вот с сайтом не разобрался ((( Техподдержка - онлайн сканер касперского?

FRST.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [4879] => C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cckayy.exe
S3 11D16D7A; \??\C:\WINDOWS\TEMP\11D16D7A.sys [X]
S3 4CFE5B9; \??\C:\WINDOWS\TEMP\4CFE5B9.sys [X]
S3 4D7D3A9; \??\C:\WINDOWS\TEMP\4D7D3A9.sys [X]
S3 5254783; \??\C:\WINDOWS\TEMP\5254783.sys [X]
S3 54FF059; \??\C:\WINDOWS\TEMP\54FF059.sys [X]
S3 57C535E; \??\C:\WINDOWS\TEMP\57C535E.sys [X]
S3 59120D0; \??\C:\WINDOWS\TEMP\59120D0.sys [X]
S3 5B092BF; \??\C:\WINDOWS\TEMP\5B092BF.sys [X]
S3 5ED342C; \??\C:\WINDOWS\TEMP\5ED342C.sys [X]
S3 65895D8; \??\C:\WINDOWS\TEMP\65895D8.sys [X]
S3 69FE4BC; \??\C:\WINDOWS\TEMP\69FE4BC.sys [X]
S3 72CA9C3; \??\C:\WINDOWS\TEMP\72CA9C3.sys [X]
S3 AA0DD75; \??\C:\WINDOWS\TEMP\AA0DD75.sys [X]
S3 C476113; \??\C:\WINDOWS\TEMP\C476113.sys [X]
S3 E329FCF; \??\C:\WINDOWS\TEMP\E329FCF.sys [X]
C:\Windows\System32\nvrsar.dll
C:\Windows\System32\nvrscs.dll
C:\Windows\System32\nvrsda.dll
C:\Windows\System32\nvrsde.dll
C:\Windows\System32\nvrsel.dll
C:\Windows\System32\nvrses.dll
C:\Windows\System32\nvrsesm.dll
C:\Windows\System32\nvrsfi.dll
C:\Windows\System32\nvrsfr.dll
C:\Windows\System32\nvrshe.dll
C:\Windows\System32\nvrshu.dll
C:\Windows\System32\nvrsit.dll
C:\Windows\System32\nvrsja.dll
C:\Windows\System32\nvrsko.dll
C:\Windows\System32\nvrsnl.dll
C:\Windows\System32\nvrsno.dll
C:\Windows\System32\nvrspl.dll
C:\Windows\System32\nvrspt.dll
C:\Windows\System32\nvrsptb.dll
C:\Windows\System32\nvrssk.dll
C:\Windows\System32\nvrssl.dll
C:\Windows\System32\nvrssv.dll
C:\Windows\System32\nvrsth.dll
C:\Windows\System32\nvrstr.dll
C:\Windows\System32\nvrszhc.dll
C:\Windows\System32\nvrszht.dll
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Gennagy_Tsementovski]

@thyrex, ФАйл ФИКСЛОГ

Fixlog.txt

[thyrex]

Мусор почистили.

Ничего вирусоподобного в логах не было видно изначально.

Как я и писал, скорее это что-то системное.

 

Создайте тему в разделе http://forum.kasperskyclub.ru/index.php?showforum=56

Возможно там посоветуют что-то дельное.