Avast WEBforum
Non-English Zone => Русский => Topic started by: sky-flame on August 17, 2013, 11:02:16 PM
-
Доброго времени суток, нужна помощь, мой ноут был заражен вирусом нешта, вот один отчёт от малваре что то там... вот о отом приложу отчёты с OTL.
http://rghost.ru/private/48192241/8a582b2794579db13f614b912efe8bcd
http://rghost.ru/private/48192246/440b8ac0492f75629e3c0ae33516e5b4
-
И ещё когда появился этот вирус, до того как его заблолкировала авира и я начал полную проверку авирой (в следствии чего дохрена всего полетело), я успел седелать точку востановления до момента сканирования. Не знаю важно это или нет, но я всё равно сделал откат до того момента.
Ну так что поможите?!
-
Вам на форум Авира.. При чем тут Аваст? :()
-
1) Запустите снова программу Malwarebytes' Anti-Malware, сделайте быстрое сканирование и удалите все, кроме:
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1744 -> Действие не было предпринято.
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
2) Скачайте сканер Dr.Web CureIt! (http://www.freedrweb.com/cureit)
- Нажмите кнопку "Начать проверку"
- Для найденных угроз выберите действие Лечить, если лечение невозможно, то переместите файлы в карантин.
- После окончания проверки, проведите еще одно сканирование программой Dr.Web CureIt!
После подготовьте новый комплект отчетов по инструкции - ОТЧЁТЫ ДЛЯ ДИАГНОСТИКИ И ОЧИСТКИ ЗАРАЖЕНИЙ (http://forum.avast.com/index.php?topic=130898.msg968438#msg968438)
там же описано, как прикрепить отчеты на форуме.
-
Вам на форум Авира.. При чем тут Аваст? :()
Может у человека Аваст,а пишет Авира,бывало уже такое :D
-
Действительно, у пользователя установлен антивирус Avira, но я не вижу в этом ничего особенного, сотни человек, у которых установлен антивирус Avast!, просят помощи в очистке компьютера от вирусов на форуах Dr.Web, Kaspersky и ни кому отказано в лечении не было, тем более никому не говорили: "Вам на форум N".
-
Просто на стационарнике стоит Avast, и к вам я уже обращался, вы очень отзывчивые и всегда мне помогали.
-
Вы говорите подготовьте новые отчёты, но проблема в том что я не могу скачать "aswMBR.exe" (
Начинается скачка, но очень быстро падает скорость и стоит прогресс скачивания на "0"(
-
Ах да, и так же "Doctor Web Cure IT" Ничего не находил
-
sky-flame, вместо Dr.Web CureIt! воспользуйтесь утилитой Kaspersky Virus Removal Tool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/avptool11/setup_11.0.0.1245.x01_2013_08_16_15_13.exe)
Подробнее о том, как пользоваться утилитой: http://support.kaspersky.ru/6183
Отчет прикрепите в следующем сообщении. (http://support.kaspersky.ru/6192)
Пропустите отчет aswMBR.exe, если Вы не можете сделать его.
-
Борьба с вирусом NESHTA: http://soft.4local.ru/kbase/useful/1453-borba-s-virusom-neshta.html
-
Вот отчёты от OTL и Malwarebytes, после попытки удаления кроме двух файлов)
Утилита от каспера, просто распаковывает файлы и ничего не запускается!
-
sky-flame, Вы забыли прикрепить отчеты. Еще хотел бы уточнить, когда Вы проверяли сканером Dr.Web CureIt!, Вы загрузили свежую версию?
-
http://rghost.ru/48198709
Вот отчёты извините, просто вчера ещё машина сбила, сейчас вообще ничего не варю(
А насчёт Dr.Web, да свежую на 16.08.13. сейчас обновил базы и опять проверил тоже самое(
Обнаружено угроз "0"
-
sky-flame, не удается открыть архив, он поврежден. Можете прикрепить отчеты на форуме, как описано в инструкции?
-
Вот извините(
-
sky-flame, следов нешты больше нет, что радует, кажется, файлы тоже не были заражены.
Запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O3 - HKU\S-1-5-21-2091426731-606164370-1538952977-1000\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
:Files
C:\ProgramData\qjaxlkio.dss
C:\ProgramData\knmesfut.gey
:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
2) скачайте утилиту Kaspersky TDSSKiller (http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe)
- Нажмите кнопку Начать проверку и дождитесь ее окончания.
- Все, что будет найдено - пробуйте лечить, если лечение невозможно, то выберите "Пропустить".
- Прикрепите отчет в следующем сообщении.
-
Когда начал выполнение скрипта, у меня на строке [emptytemp] залагал OTL
-
Выполните скрипт в безопасном режиме.
-
Вот лог после выполнения скрипта!!!
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry value HKEY_USERS\S-1-5-21-2091426731-606164370-1538952977-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{09900DE8-1DCA-443F-9243-26FF581438AF} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found.
========== FILES ==========
File\Folder C:\ProgramData\qjaxlkio.dss not found.
File\Folder C:\ProgramData\knmesfut.gey not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: user
->Temp folder emptied: 233458420 bytes
->Temporary Internet Files folder emptied: 58051420 bytes
->Google Chrome cache emptied: 224058611 bytes
->Apple Safari cache emptied: 161897472 bytes
->Opera cache emptied: 52700242 bytes
->Flash cache emptied: 675745 bytes
User: Все пользователи
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1619120 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 297870970 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69162 bytes
RecycleBin emptied: 5984495460 bytes
Total Files Cleaned = 6 690,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.69.0 log created on 08182013_122103
Files\Folders moved on Reboot...
C:\Users\user\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
-
Т.к Neshta-файловый вирус, то нет полной уверенности, что другие файлы не были заражены.
Скачайте Dr.Web LiveUSB (http://download.geo.drweb.com/pub/drweb/liveusb/win/drwebliveusb.exe)
- Создайте загрузочный флеш-накопитель (подробнее: http://www.freedrweb.com/liveusb/how_it_works/ )
- Для найденных угроз выберите действие Лечить, если лечение невозможно, то переместите файлы в карантин.
-
Спасибо огромное, всё в порядке, ничто ничего не находит, ни Доктор, ни малваре байтс, ни авира, ни каспер.)
-
sky-flame, важно сделать сканирование с LiveUSB, даже если остается 1 зараженный файл, то начнется заражение других, скачивать и делать загрузочную флешку лучше с другого компьютера!
-
Хорошо спасибо сделаю)
-
sky-flame, важно сделать сканирование с LiveUSB, даже если остается 1 зараженный файл, то начнется заражение других, скачивать и делать загрузочную флешку лучше с другого компьютера!
Андрей, помогите, опять началась такая хрень, да у меня не получилось сделать загрузочную флешку, точнее получилось, но у меня на ноуте не назначена клавиша выбора запуска, а в биосе я не мог настроить что бы запускало с флешки, как только не ставил, и первой по запуску и последней, никак((
Вот отчёты на данный момент от Malwarebytes и TDSKiller
-
Ах да и OTL Вообще не запускается, пишет что это не Win32
-
Восстановите все файлы из карантина, которые обнаружил TDSSKiller. Похоже, что нешта осталась. Тогда, может Вам лучше сделать загрузочный диск (Live CD): http://www.freedrweb.com/livecd/how_it_works/
Некоторые старые версии BIOS не поддерживают загрузку со съемных носителей.
-
Дело в том что комп я купил на этот новый год Samsung np355v5x
-
модель немного другая, но должно быть одинаково, прочитайте здесь, как можно сделать загрузку со съемного носителя: http://www.cyberforum.ru/notebooks/thread737352.html
-
не помогает(
-
Попробуйте еще раз:
Отключите режим быстрой загрузки (Fast Boot) в BIOS или в программе Easy Settings — этот режим выключает определение USB-устройств для ускорения прохождения BIOS. 2. Выключите ноутбук. 3. Воткните флэшку. 4. Включите ноутбук, нажмите F2, в BIOS в разделе загрузки убедитесь, что флэшка видна и стоит первой.
Прочитайте руководство пользователя к ноутбуку, чтобы понять, как сделать загрузку со съемного носителя
-
Да флешка стала видной я поставил первой её, но, однако, всё равно запускается винда(*
-
Возможно, вы ее неправильно записали. Есть возможность опробовать на другом компьютере?
Вот инструкция по загрузке с сайта самсунг по Вашей модели: http://skp.samsungcsportal.com/integrated/popup/FaqDetailPopup3.jsp?cdsite=ru&seq=252696
-
Нет я всё правильно записал, вот только с флешко что то не то, уже была такая проблема, не могу установить с неё KUbuntu, не получилось, взял другую и всё ок, ладно сейчас возьму другую попробую
-
Вроде как получается запустить, но я выбираю русский выскакивает Filed to setup... потом сразу картинка Dr. Web наперекосяк, и всё(
-
А какой формат флешки должен быть? NTFS? Fat 32?
-
читал, что с NTFS были проблемы, попробуйте FAT 32
-
Filed to setup ibs -22 вот ошибка, но оно оказывается продолжает дальше загружаться
-
А и ещё, тач не работает в данном режиме!
-
попробуйте USB-мышь, возможно, можно управлять с помощью стрелок на клавиатуре.
-
Да я спомощью таба и стрелочек, начал сканирование всего, всё что найдёт удалять? и по возможности лечить? И после данной процедуры всё будет ок?
-
Для найденных угроз применяйте действие лечить, если лечение невозможно, то перемещайте в карантин. Никто не может гарантировать, что все будет ок, но вирус старый (2005 год) и методы его лечения антивирусам известны.
-
Хорошо, спасибо, но сканирует очень долго, прошло 11мин, а просканировало только 351 файл!
-
Андрей, что делать? Вроде всё проверил, нашло 432 угрозы и 1 вредоносный, но проблема в том что когда я пытаюсь лечить там или в карантин поместить, то через 105 файлов помещённых либо вылеченных, пишет что на устройстве не достаточно места, флешка на 4гб, больше, лично у меня, нету(
-
sky-flame, приведите несколько названий найденных угроз.
-
А название только одно!! :-\
Win32.HLLP.Neshta
-
Этот вирус Dr.Web должен лечить, а не перемещать в карантин.
-
Ну он лечит, но есть архивы, когда я пытаюсь лечить его после определённого количества, всё равно пишет недостаточно памяти!
-
Вы можете пропускать такие файлы? В любом случае, после этой проверки необходимо провести еще одну проверку, пока не будут вылечены все файлы.
-
Вам легко говорить, но данное сканирование, занимает у меня около 5 часов!!!(
-
Я понимаю, но другой метод борьбы с файловыми вирусами заключается в переустановке ОС. Если сейчас не долечить, то снова начнется заражение всех файлов.
-
Андрей, я вот только не понимаю что делать с архивами, там не написано что это вирусы, но почему то их показывает. Например просто вот так написано, Архив ZIP, Архив RAR, Архив BINARYRES, Архив INNO SETUP, архив NSIS.
-
А когда пытаешься смотреть намного подробнее, пишет либо "Защищено паролем" либо "Слишком большой файл", лишь в одном было написано "Возможная вредоносная угроза" (Как то так) Я его засунул в карантин!
-
Андрей, я вот только не понимаю что делать с архивами, там не написано что это вирусы, но почему то их показывает. Например просто вот так написано, Архив ZIP, Архив RAR, Архив BINARYRES, Архив INNO SETUP, архив NSIS.
Neshta заражает только исполняемые файлы (с расширением exe), поэтому архивы не могут быть заражены нештой, а Dr.web просто показывает тип просканированного архива (ZIP, RAR...).
-
Архив САВ ещё есть!
-
Ясно спасибо)
-
Андрей, очень прошу помочь, просто очень много важных фалов на компьютере (я дизайнер и если я потеряю то что я сделал, то меня попрут с работы), но после того что вы посоветовали сделать, (То есть после лечения всех фалов) компьютер начал перезагружаться автоматически сразу после загрузочной полосы, я отключил авто. перезагрузку системы при неисправности, и теперь показывает данную ошибку:
STOP: c000021a {Fatal Sustem error}
The initial session process of system process terminated unexpectedly with a tus of 0x00000000 (0xc00000001 0x001005c8).
The system has been shut down.
-
sky-flame, необходимые файлы можете прямо сейчас скопировать на флеш носитель, используя Midnight commander, который идет в составе Dr.Web LiveUSB. В безопасном режиме можете загрузиться?
-
Нет никак не запускается(
-
Так это что, очень серьёзно?
-
Пока не могу сказать, мы попробуем восстановить систему. У Вас есть другой компьютер, т.к нужно будет сделать загрузочную флешку? У Вас 32 или 64 битная система?
-
Есть другой, стационарник 64 бит, и на ноуте 64бит.
-
Извините, а можно с вами переписываться в каком нибудь чате? Просто как то неудобно на форуме(
-
Скачайте следующие программы на ваш рабочий стол:
1. Rufus (http://rufus.akeo.ie/downloads/rufus_v1.3.2.exe)
2. Windows 7 64bit RC (https://dl.dropbox.com/u/73555776/win7%2064bit%20rc.iso)
Вставьте флэш-накопитель и запустите программу Rufus
(https://dl.dropbox.com/u/73555776/rufus.JPG)
Выберите файл ISO на рабочем столе с помощью значка ISO.
Нажмите Start Burn (начать запись)
(https://dl.dropbox.com/u/73555776/RufusISO.JPG)
Вставьте USB-накопитель в компьютер и запустите компьютер. Убедитесь, что система настроена на загрузку с USB
Примечание: Если Вы не уверены, как это сделать, то следуйте этой инструкции: здесь (http://lifehacker.com/5991848/how-to-boot-from-a-cd-or-usb-drive-on-any-pc)
После перезагрузки вы увидите это, хотя, Вы скажете,что у Вас Windows 7.
Кликните на repair my computer (исправить мой компьютер)
(http://i1224.photobucket.com/albums/ee362/Essexboy3/RepairVista_7275.jpg)
Выберите Вашу операционную систему
(http://i1224.photobucket.com/albums/ee362/Essexboy3/RepairVista_7277202.jpg)
Выберите Command prompt (командная строка)
(http://i1224.photobucket.com/albums/ee362/Essexboy3/RepairVista_7277.jpg)
В командной строке введите следующее :
sfc /scannowи нажмите клавишу enter
-
Ссылка на Windows 7 64bit RC не пашет(
-
Действительно, ссылка не работает и у меня сейчас нет другой ссылки на дистрибутив windows 7. Вы пробовали выбрать в дополнительных вариантах загрузки "Последняя удачная конфигурация"? Возможно, у вас есть дистрибутив windows 7 64 bit?
-
Да пытался, и вышло так что произошло тоже самое(
-
У Вас есть установочный диск с windows 7 64 bit?
-
Нет(
-
Сейчас пока не могу дать других инструкций, я поищу другой способ восстановления системы, Вам придется немного подождать.
-
Благодарю, сейчас в сетке своей спросил, мне Retail нужен или что?
-
что такое Retail? Может быть, Вы имели в виду repair?
-
Нет ретаил и оем, ретаил она идёт как сборка (дрова и до кучи г...), а оем чистая винда
-
Думаю, что это не имеет значения, т.к нам нужно получить лишь доступ к командной строке и выполнить команду sfc /scannow
-
Но что мешает, зайти через флешку на которой Dr. Web, и через тот же терминал попробывать или он действует только на самого себя?
-
С терминала вроде нельзя запустить sfc /scannow.
-
Да "Нет такой команды"
-
Я поищу другие методы, возможно, найду windows 7, но уже завтра. Скопируйте пока важную информацию с компьютера, используя файловый менеджер Midnight commander.
-
Скачайте следующие программы на Рабочий стол Вашего компьютера :
1. Rufus (http://rufus.akeo.ie/downloads/rufus_v1.3.2.exe)
2. Windows 7 64bit RC (http://www.forum.probz.net/index.php?/files/file/19-windows-7-recovery-environment-iso/)
Вставьте флэш-накопитель и запустите программу Rufus
(https://dl.dropbox.com/u/73555776/rufus.JPG)
Выберите файл ISO на Рабочем столе с помощью значка ISO.
Нажмите Start Burn (начать запись)
(https://dl.dropbox.com/u/73555776/RufusISO.JPG)
Вставьте USB-накопитель и запустите компьютер. Убедитесь, что система настроена на загрузку с USB.
Примечание: Если Вы не уверены, как это сделать, то следуйте этой инструкции: здесь (http://lifehacker.com/5991848/how-to-boot-from-a-cd-or-usb-drive-on-any-pc)
После перезагрузки вы увидите следующее:
Кликните на repair my computer (исправить мой компьютер)
(https://dl.dropboxusercontent.com/u/73555776/W7%20repair.png)
Выберите Вашу операционную систему
Выберите Command prompt (командная строка)
(https://dl.dropboxusercontent.com/u/73555776/W7%20Command.png)
В командной строке введите следующее :
sfc /scannowи нажмите клавишу enter.
-
Ох благодарю, буду пробывать, но можно попросить ваш скайп или аську или что нибудь)
-
У меня нет ни аськи, ни скайпа. Оказывать помощь на форуме гораздо удобнее, потому что есть необходимые теги форматирования, другие пользователи могут также помочь решить проблему.
-
На флешку запилил, она просто не отображается(((
Хотя та же флешка, на ней был загрузочный Dr.Web
-
Попробуйте отформатировать флешку в NTFS и снова создать загрузочную флешку, если не получится, то искать другую флешку...
-
Пробовал, не получается, попробовал с другой флешкой, точнее я перепробывал уже 3 флешки и ни одна не показывается
-
Попробуйте использовать другой порт Usb
-
Ничего не изменилось!(
-
На другом компьютере флешки открываются? Попробуйте использовать порт usb, который находится на задней стороне компьютера. У Вас есть чистый диск?
-
Диска нету, я же говорил это на ноуте вирус, и полетел он же!
-
Какая у Вас версия BIOS, возможно, у Вас отключен USB-контроллер.
-
Bios ver. P05AAN
-
Попробуйте выполнить следующие настройки в BIOS: раздел Advanced - Fast BIOS Mode - Disabled, сохранить - F10, Enter. Далее после перезагрузки - F2 - Boot Override. После этого можно выбрать USB-устройство, с которого будет выполнена загрузка.
-
Хех, я это тоже нашёл, ничего не получилось!
-
Пока нет других идей, как загрузиться с флешки, копайте настройки BIOS.
-
я в тех. поддержку обратился!
-
в техподдержку samsung?
-
Да но они как то очень медленно отвечают!
-
Давайте проверим, возможно, это так. Сделайте снова загрузочный Dr. web Live USB, если определится, то действительно, дело в rufus.
-
Хорошо сейчас.
-
Ну флешку отображать начал, но почему то перестал запускать((, нажимаю на флешку и икран просто мигнёт и всё(
-
А нет всё ок, всё запускает я поставил UFD и загрузил)
-
Значит дело в rufus. Для создания загрузочной флешки скачайте программу Windows 7 DVD/USB Download Tool (http://images2.store.microsoft.com/prod/clustera/framework/w7udt/1.0/en-us/Windows7-USB-DVD-tool.exe)
Запустите Windows 7 DVD/USB Download Tool.
(http://res1.windows.microsoft.com/resbox/ru-ru/windows%207/main/e57e34af-b8dd-4159-be3d-e856712ae217_0.png)
Укажите путь к образу установочного диска. Для этого нажмите кнопку “Browse” и найдите соответствующий файл образа ISO на вашем компьютере. По завершении нажмите кнопку “Next”.
(http://res1.windows.microsoft.com/resbox/ru-ru/windows%207/main/2821a181-df57-49a0-84dc-abdbc110d103_0.png)
Выберите соответствующий носитель информации для записи. Для создания установочного флэш-накопителя USB нажмите кнопку “USB device”.
(http://res2.windows.microsoft.com/resbox/ru-ru/windows%207/main/564586a3-6bd4-4b3c-a0ed-65a9112f4a48_0.png)
Укажите флэш-накопитель USB, на который следует произвести запись (накопитель “МОЯ ФЛЕШКА” на изображении ниже). После выбора флэш-накопителя, нажмите на кнопку “Begin copying” для начала записи.
(http://res2.windows.microsoft.com/resbox/ru-ru/windows%207/main/e871ce52-b157-4f76-962e-0d0faa57ead6_0.png)
Далее Windows 7 DVD/USB Download Tool произведет форматирование вашего флэш-накопителя USB и запись образа.
(http://res1.windows.microsoft.com/resbox/ru-ru/windows%207/main/b1976804-7373-43ec-a566-7f7009b52458_0.png)
-
Лол
"The selected file is not a valid ISO file. Please select a valid iso file and true again"
Хотя я перезакачиваю уже 3ий раз.
-
Мда :) Попробуйте создать загрузочную флешку с помощью UltraISO (http://www.ezbsystems.com/dl1.php?file=uiso9_pe.exe)
Инструкция по созданию: http://zgothic.ru/computers/kak-sozdat-zagruzochnuyu-fleshku-windows-7-v-ultraiso
-
Чувствую себя ущербом)
-
Ура начинается)
Но вот что в консольке пишет когда я ввожу sfc /scannow
there is a system repair pending which requires reboot to complete. Restart
windows and run sfc again.
Я перезапускаю и опять ввожу сфц но хренас два опять просят перезапустить(
-
Выполните, как описано здесь (SFC в среде Windows RE): http://www.oszone.net/12548/SFC_in_WinRE
-
Ну сделал так, проверило, и что дальше? Выходить из консольки?
-
т.е. sfc /scannow /OFFBOOTDIR=E:\ /OFFWINDIR=E:\windows завершило работу? Да, выходите из консоли и попробуйте загрузиться в обычном режиме.
-
Да завершило, почти моментально
-
А нет извините не правильно ввёл, сейчас ввёл правильно, теперь показывает данное!
"Windows Resource Protection could not start the repair service"
-
Убедитесь, что буква Е-буква Вашего диска.
Узнать букву диска можно так: http://www.outsidethebox.ms/10432/
-
Нет у меня буква С, я её и ввожу
-
Выйдите из среды восстановления, на другом компьютере скачайте программу Farbar Recovery Scan Tool x64 (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/)
Затем скопируйте FRST на тот же самый флэш-накопитель
(http://dl.dropbox.com/u/73555776/frstwintoboot.JPG)
Вставьте USB-накопитель в компьютер и запустите компьютер. Убедитесь, что система настроена на загрузку с USB
Примечание: Если Вы не уверены, как это сделать, то следуйте этой инструкции: здесь (http://lifehacker.com/5991848/how-to-boot-from-a-cd-or-usb-drive-on-any-pc)
После перезагрузки вы увидите следующее:
Кликните на repair my computer (исправить мой компьютер)
(http://i1224.photobucket.com/albums/ee362/Essexboy3/RepairVista_7275.jpg)
Выберите Вашу операционную систему
(http://i1224.photobucket.com/albums/ee362/Essexboy3/RepairVista_7277202.jpg)
Выберите Command prompt (командная строка)
(http://i1224.photobucket.com/albums/ee362/Essexboy3/RepairVista_7277.jpg)
В командной строке введите следующее :
notepad и нажмите клавишу Enter.
Откроется блокнот. В меню Файл выберите Open (открыть).
Выберите "Computer (компьютер)", найдите букву своего флэш-накопителя и закройте блокнот.
В окне введите команду e:\frst64.exe и нажмите клавишу Enter
Примечание: Замените букву e на букву вашего флэш-накопителя.
Программа начнет свою работу.
Когда программа запустится, нажмите Yes (да) для соглашения с оговоркой
(https://dl.dropbox.com/u/73555776/FRST%20Start%20scan.gif)
Нажмите кнопку Scan (сканировать).
Появится лог-файл (FRST.txt) на флэш-накопителе. Пожалуйста, прикрепите его в следующем сообщении.
-
Вот отчёт
-
Чуть позже я напишу дальнейшие инструкции.
-
- Откройте блокнот (Пуск=>Все программы=>Стандартные=>Блокнот). Пожалуйста, скопируйте все содержимое кода из окна ниже. (Для этого выделите содержимое окна, нажмите правой кнопкой мыши и выберите копировать.)
- Скопируйте все содержимое в открытый блокнот, нажав правой кнопкой мыши и выбрав Вставить
- Сохраните его на флэш-накопителе как fixlist.txt
HKLM-x32\...\Winlogon: [Userinit] [x]
HKLM\...\Winlogon: [Shell] [x ] () <=== ATTENTION
HKLM-x32\...\Winlogon: [Shell] [x ] () <=== ATTENTION
HKLM\...\InprocServer32: [Default-wbemess] ATTENTION! ====> ZeroAccess?
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] ATTENTION! ====> ZeroAccess?
S3 X6va011; \??\C:\Windows\SysWOW64\Drivers\X6va011 [x]
S3 X6va012; \??\C:\Windows\SysWOW64\Drivers\X6va012 [x]
S3 X6va013; \??\C:\Windows\SysWOW64\Drivers\X6va013 [x]
2013-08-19 12:49 - 2013-08-19 12:49 - 00041472 ____R C:\Windows\svchost.com
2013-08-19 12:49 - 2013-08-15 16:05 - 00000038 _____ C:\Windows\directx.sys
HKLM\...\exefile\DefaultIcon: <===== ATTENTION!
Внимание! Данный скрипт был написан специально для этого пользователя! Использование его на другом компьютере может привести к неработоспособности ОС!
- Теперь, пожалуйста, войдите в System Recovery Options (Параметры восстановления системы).
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл на флэш-накопителе (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
-
sky-flame
Вы получили предупреждение за использование ненормативных выражений. Ваше сообщение с текстом, содержащее ненормативные выражения, удалено. Убедительно прошу не нарушать правила поведения в общественном месте.
-
Вот логи
-
Пробуйте загрузиться в обычном режиме.
-
Попытался, опять вырубился компьютер(
-
Отключил перезагрузку при неудачной загрузке, и всё равно та же ошибка(
Может ещё раз скрипт выполнить?
-
Нет, повторно выполнять не нужно, подготовьте новый отчет FRST.
-
Хорошо уже готовлю, как знал)
-
Я прям даже не знаю как вас благодарить)
-
Выберите System restore (Восстановление системы)
(http://i1224.photobucket.com/albums/ee362/Essexboy3/RepairVista_7277.jpg)
Выберите точку восстановления, которая была создана OTL 18 августа после выполнения скрипта. После того, как система будет восстановлена, попробуйте загрузиться в обычном режиме и сообщите результат.
-
Пишет "To use System Restore, you must specify which Windows installation to restore.
Restart this computer, select an operating system, and then select System Restore"
-
А если не через флешку, а через вин, то пишет что нету точек восстановления(
-
Пишет "To use System Restore, you must specify which Windows installation to restore.
Restart this computer, select an operating system, and then select System Restore"
Перезагрузите компьютер, выберите операционную систему и выберите Восстановление системы (System Restore).
Такого не может быть, что нет точек восстановления, т.к. во время выполнения скрипта OTL была создана точка восстановления.
-
Я знаю, я видел в скрипте, но однако нету, сейчас перезапустил, выбрал винду, и мне пишет, "No restore points have been created on your computer's system drive..." И т.д.
-
Остается только попробовать через виндовс выбрать Startup repair (Восстановление при загрузке). В безопасном режиме таже ошибка?
-
Да, в безопасном та же.(
Я от только не совсем понимаю что с ним? Чего не хватает?
-
И восстановление загрузки не помогает(
-
Не могу понять из-за чего не загружается виндовс. Попробуйте через виндовс запустить:
sfc /scannow /OFFBOOTDIR=E:\ /OFFWINDIR=E:\windows
где Е-буква Вашего диска
Пока других идей нет.
-
Я вот тоже не могу понять, я вот сейчас включил ведение журнала загрузки вплоть до последнего загруженного перед сбоем файла, только вот куда он сохраняется? Я бы вам скинул может помогло бы вам)
-
И ещё хотел спросить можно ли убрать из карантина то что я добавил в карантин в Dr. web?
-
Журнал здесь: С:\windows\ntbtlog.txt
Что Dr web переместил в карантин (название угроз)?
-
Я не помню((( к сожалению
-
Вот там до хрена всего не грузится
-
Не прикрепляется почему то ошибка 413
-
на файлообменник загрузите и ссылку укажите на загрузку файла
-
http://rghost.ru/private/48280631/0e175336cf57b573ffb5a77afc9be96f
Вот очень много всего(
-
Пока нет идей, безопасный режим с поддержкой командной строки тоже не работает?
-
не не работает(
-
Попробуйте восстановить все файлы из карантина dr web и попробуйте загрузиться в обычном режиме, проверить, появились ли точки восстановления системы. Dr. web должен хранить где-то логи, поищите, если найдете, то загрузите их на файлообменник.
нет, оказывается, файлы все равно удаляются из карантина безвозратно
-
Вот и я пытался(
-
sky-flame, восстановление системы невозможно, требуется переустановка системы. Все необходимые файлы Вы можете сохранить, используя файловый менеджер Midnight commander, который поставляется в составе Dr.Web Live USB. Все контрольные точки восстановления системы, скорее всего, были заражены и удалены Dr. web.
-
Да я уже понял, да и файлы можно перезаписать в блокноте через открыть как)