Перейти к содержанию

Рекомендуемые сообщения

Заранее извиняюсь за то что нарушил правила. Завтра скину логи с AVZ дабы очень срочно нужна помощь. (как ни странно) Первый раз на форумах и не в курсе как быстро тут ответят.

Вкратце. Комп с работы. Windows XP. Откуда взялась проблема не знаю.

1. Как только запустилась винда выдает сообщение об ошибке - (верхушка) Winlogon.exe (Текст) Приложение или библиотека С:\ Windows\Sistem32\sfc.dll не является образом программы для Windows NT.

2. Вставил жесткий диск он выдал сообщение о том что для устройства Volume (Хотя диск My pasport) не нашлось драйверов. И оно не отображается в Мой компьютер. (любое устройство будь то флешка или расширитель УСБ пишет в табличке в нижнем правом углу как Volume) флешка запускается.

3. Самое интересное то что этот "наверно и не один вирус" заблокировал все сетевые подключения. Захожу в сетевые подключения он думает около пяти минут а потом выдает пустое окно. Пытаюсь закрыть виснет. Ни локальной ни само собой интернет.

4.Пытался запустить службы (к примеру) Брандмауер Windows\ общий доступ к Интернету (ICS) На локальный компьютер. Ошибка 1058. Не удалось запустить дочернюю службу.  Еще служба "Рабочая станция на локальный компьютер" Ошибка: 193: 0хс1. Пытался и другие запустить все одно либо дочерняя служба либо ошибка.

5. Диспетчер не открывается. 

6. Проверил Dr. web и утилитой касперского. Оба нашли только один вирус. Касперский распознал его как Trojan.Downloader.banload.aalal . Удалил но ничего не изменилось.

Проверял AVZ но так как я в нем не разбираюсь особо ничего не понял. в CMD выполняю Ping .......... ничего не видит. С других компов его тоже не видно

7. Имеет значение или нет но... на другом компьютере тоже самое. В журнале система три сообщения. (Вложенный архив)

 

P. S.

 

Завтра я обязательно скину скрины ошибок, лог АВЗ и всё что еще потребуете)) попробую всё что подскажите по данной теме.

 

Я понимаю что много писанины а вы работаете на основе логов в которых всё описано. Но может на основе выше сказанного что то уже можете подсказать. Или скажите что нужно сделать, прислать вас для того чтобы разобраться в проблеме.

Фото с ошибками.rar

post-39069-0-79354000-1466887793_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cckayy.exe','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cckayy.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4879');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты

@thyrex, Подскажите если можно. Что именно случилось и как вы это исправили. Просто он видимо по локальной сети гуляет и это может повторится. Могу ли я сделать то же самое на други ПК или нужно делать новые логи и опять всё по новой? Это какой то новый виру я так понимаю? Обьясните пожалуйста как будет время

Ссылка на сообщение
Поделиться на другие сайты

Пока идет зачистка мусора. Не уверен, что тут не проблемы самой системой.

 

Скрипты пишутся на основании собранных логов под конкретный компьютер. А потому применять на других машинах не стоит.

Ссылка на сообщение
Поделиться на другие сайты

@thyrex, получилось только на третий раз. Первые два закончились синим экраном.

1) BAD pool header......Technical information **** STOP : 0x00000019 (0x00000020, 0xE1A64910, 0xE1A64938, 0x0C050201).

2) BAD pool header.....Technical information **** STOP : 0x00000019 (0x00000020, 0xE18C73C0, 0xE18C74A0, 0x0C1C0203).

 

Новые логи

CollectionLog-2016.06.26-13.43.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [4879] => C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cckayy.exe
S3 11D16D7A; \??\C:\WINDOWS\TEMP\11D16D7A.sys [X]
S3 4CFE5B9; \??\C:\WINDOWS\TEMP\4CFE5B9.sys [X]
S3 4D7D3A9; \??\C:\WINDOWS\TEMP\4D7D3A9.sys [X]
S3 5254783; \??\C:\WINDOWS\TEMP\5254783.sys [X]
S3 54FF059; \??\C:\WINDOWS\TEMP\54FF059.sys [X]
S3 57C535E; \??\C:\WINDOWS\TEMP\57C535E.sys [X]
S3 59120D0; \??\C:\WINDOWS\TEMP\59120D0.sys [X]
S3 5B092BF; \??\C:\WINDOWS\TEMP\5B092BF.sys [X]
S3 5ED342C; \??\C:\WINDOWS\TEMP\5ED342C.sys [X]
S3 65895D8; \??\C:\WINDOWS\TEMP\65895D8.sys [X]
S3 69FE4BC; \??\C:\WINDOWS\TEMP\69FE4BC.sys [X]
S3 72CA9C3; \??\C:\WINDOWS\TEMP\72CA9C3.sys [X]
S3 AA0DD75; \??\C:\WINDOWS\TEMP\AA0DD75.sys [X]
S3 C476113; \??\C:\WINDOWS\TEMP\C476113.sys [X]
S3 E329FCF; \??\C:\WINDOWS\TEMP\E329FCF.sys [X]
C:\Windows\System32\nvrsar.dll
C:\Windows\System32\nvrscs.dll
C:\Windows\System32\nvrsda.dll
C:\Windows\System32\nvrsde.dll
C:\Windows\System32\nvrsel.dll
C:\Windows\System32\nvrses.dll
C:\Windows\System32\nvrsesm.dll
C:\Windows\System32\nvrsfi.dll
C:\Windows\System32\nvrsfr.dll
C:\Windows\System32\nvrshe.dll
C:\Windows\System32\nvrshu.dll
C:\Windows\System32\nvrsit.dll
C:\Windows\System32\nvrsja.dll
C:\Windows\System32\nvrsko.dll
C:\Windows\System32\nvrsnl.dll
C:\Windows\System32\nvrsno.dll
C:\Windows\System32\nvrspl.dll
C:\Windows\System32\nvrspt.dll
C:\Windows\System32\nvrsptb.dll
C:\Windows\System32\nvrssk.dll
C:\Windows\System32\nvrssl.dll
C:\Windows\System32\nvrssv.dll
C:\Windows\System32\nvrsth.dll
C:\Windows\System32\nvrstr.dll
C:\Windows\System32\nvrszhc.dll
C:\Windows\System32\nvrszht.dll
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Мусор почистили.

Ничего вирусоподобного в логах не было видно изначально.

Как я и писал, скорее это что-то системное.

 

Создайте тему в разделе http://forum.kasperskyclub.ru/index.php?showforum=56

Возможно там посоветуют что-то дельное.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • swagoutbaby
      От swagoutbaby
      Начал играть в PUBG стал замечать сильные фризы и просадок фпс до 20-40 при стабильном 140, просканировал комп dr.web'ом обычным, нашлось 3 трояна и chromium:page.malware.url, просто нажал обезвредить и всё. 1, 2 дня так поиграл без лагов, потом всё по новой, просканировал ещё раз chromium:page.malware.url опять нашёлся. Здесь же на форуме пытался так сказать вылечить комп, сначала помогло, потом по новой. Переустановил винду, всё тоже самое, вирус никуда не делся.
      cureit.log CollectionLog-2024.03.19-17.14.zip report1.log report2.log
    • depston
      От depston
      Доброго времени суток.
      Поймал что-то, doctor web cureit ругается на C:\Users\depston\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences , но не лечиться. adwcleaner_8.4.2 же видит browser hijack, но при последующей перезагрузки все по новой.
      Прикрепил логи с adwcleaner и от First64 Addition.txtFRST.txt
      AdwCleaner[S00].txt AdwCleaner[C00].txt AdwCleaner_Debug.log
×
×
  • Создать...