Пару дней назад заметил изменения в работе компа. Он стал слегка подтормаживать (температура в норме), при работе некоторых приложений появляется ошибка "На данном компьютере отключен доступ к серверу сценариев Windows." Контроль целостности Каспера начал активно ругаться на измененные исполняемые файлы. Раньше не ругался.
Похоже на вирус, но... Проверка Dr.Web и KIS7 с новыми базами ничего не дает. KIS7 стоит последние несколько месяцев, периодически обновляясь через инет. Новых файлов на винте и процессов в диспетчере задач не нашел. Левой сетевой активности в файерволле KIS7 нет, лампочки на мопеде беспричинно тоже не мигают.
Перед этим была неделя непрерывной работы компа с постоянным подключением к интернету. Больше вродь ничего не происходило, никакого нового софта не ставилось и старый не удалялся.
Это обычные глюки системы наложились на мою паранойю, или таки может быть что-то нехорошее?
Лог Хайджека:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:38:46, on 18.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\USBSRService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
C:\Program Files\VMware\VMware Workstation\hqtray.exe
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\DRTools\daemon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe
C:\Program Files\USB Safely Remove\USBSafelyRemove.exe
C:\Program Files\Volumecontrol2\LouderIt.exe
C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe
C:\Program Files\Alcohol Soft\Alcohol 52\Alcohol.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Программы для работы с модемом и сетью\usd_v0.03\USDownloader.exe
C:\Program Files\Opera AC\opera.exe
C:\Program Files\AVZ\AVZ.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lonerd.dreamprogs.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer 7 сборка Loner-XP
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [vmware-tray] C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\DRTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe noTrayIcon
O4 - HKCU\..\Run: [SkinClock] C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe
O4 - HKCU\..\Run: [USB Safely Remove] C:\Program Files\USB Safely Remove\USBSafelyRemove.exe /startup
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [louderit.exe] C:\Program Files\Volumecontrol2\LouderIt.exe
O4 - HKCU\..\Run: [Infium] "D:\Программы для работы с модемом и сетью\qip\QIP Infium\infium.exe"
O4 - HKCU\..\Run: [USDownloader] "C:\USD\USDownloader.exe"
O4 - HKCU\..\Run: [Alcohol.exe Autorun] C:\Program Files\Alcohol Soft\Alcohol 52\Alcohol.exe /startup
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [QT_All] C:\WINDOWS\system32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\QTall.inf,All.Run,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [QT_All] C:\WINDOWS\system32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\QTall.inf,All.Run,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [QT_All] C:\WINDOWS\system32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\QTall.inf,All.Run,0 (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Online-словари - C:\Program Files\PRMT8\PRMTIE\oda.htm
O8 - Extra context menu item: Автоматически определить шаблон тематики - C:\Program Files\PRMT8\PRMTIE\aot.htm
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O8 - Extra context menu item: Настроить параметры перевода - C:\Program Files\PRMT8\PRMTIE\options.htm
O8 - Extra context menu item: Незнакомые слова - C:\Program Files\PRMT8\PRMTIE\infopanel.htm
O8 - Extra context menu item: Открыть словарную статью - C:\Program Files\PRMT8\PRMTIE\addentry.htm
O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Перевести - C:\Program Files\PRMT8\PRMTIE\translat.htm
O8 - Extra context menu item: Перевести страницу - C:\Program Files\PRMT8\PRMTIE\page.htm
O8 - Extra context menu item: Поиск в Интернете - C:\Program Files\PRMT8\PRMTIE\search.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{8021A42D-1DE1-4F6B-88CC-E57E92ACC52E}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: USB Safely Remove Assistant (USBSafelyRemoveService) - Unknown owner - C:\Program Files\USBSRService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O24 - Desktop Component 0: (no name) - (no file)
--
End of file - 10764 bytes
| QUOTE |
| "На данном компьютере отключен доступ к серверу сценариев Windows." |
Пуск\выполнить\regedit\ok
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
и в нем параметр "Enabled" (тип REG_SZ). Значение параметра должно быть 1
Скачай полиморфную АВЗ
Базы не нужно обновлять.
Очисть временные файлы(темп, кеш...) как в правилах написано
Уубери из автозагрузки(через msconfig) все лишнее, что связано с:
TuneUp
Alcohol
Acronis
Download Master
TaskSwitchXP
VisualTaskTips
C:\Program Files\Volumecontrol2\LouderIt.exe
... и прочие украшалки, свистелки, перделки!
Все это можно будет потом легко вернуть обратно. Сейчас это все жктко мешает. Оставь из приложений только каспера.
Во вкладке служб, тоже,- кроме служб MS(галочка не показывать службы MS) и Каспера.
Я чуть мозг не сломал, пока логи смотрел)
| QUOTE |
| C:\Documents and Settings\Atalis\Рабочий стол\EVEREST.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) Файл успешно помещен в карантин (C:\Documents and Settings\Atalis\Рабочий стол\EVEREST.exe) C:\Documents and Settings\Atalis\Рабочий стол\K-Lite+Crystal\CrystalPlayer.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) Файл успешно помещен в карантин (C:\Documents and Settings\Atalis\Рабочий стол\K-Lite+Crystal\CrystalPlayer.exe) C:\Documents and Settings\Atalis\Рабочий стол\глобал\Быстрая установка AVZ.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) Файл успешно помещен в карантин (C:\Documents and Settings\Atalis\Рабочий стол\глобал\Быстрая установка AVZ.exe) C:\Documents and Settings\Atalis\Рабочий стол\С флешки\txt_sys\КиллБилл\WGA Crack(windovs crack).rar/{RAR}/WGA Crack\Keyfinder.exe/{RAR-SFX}/officekey.exe >>>>> not-a-virus:PSWTool.Win32.RAS.a C:\EVEREST.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) Файл успешно помещен в карантин (C:\EVEREST.exe) C:\Program Files\sav_HWID.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) Файл успешно помещен в карантин (C:\Program Files\sav_HWID.exe) C:\Program Files\TCWL\Utilites\BCompare\BComp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%) Файл успешно помещен в карантин (C:\Program Files\TCWL\Utilites\BCompare\BComp.com) C:\Program Files\TCWL\Utilites\WinUpack\WinUpackE.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) Файл успешно помещен в карантин (C:\Program Files\TCWL\Utilites\WinUpack\WinUpackE.exe) C:\Program Files\TCWL\Utilites\WinUpack\WinUpackR.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) Файл успешно помещен в карантин (C:\Program Files\TCWL\Utilites\WinUpack\WinUpackR.exe) C:\System Volume Information\_restore{0AE80E89-2835-46E9-8C76-C3F4A4161804}\RP5\A0005327.sys >>> подозрение на Trojan-GameThief.Win32.OnLineGames.tear ( 09328061 040FD04B 0016B5E6 001D3365 32768) Файл успешно помещен в карантин (C:\System Volume Information\_restore{0AE80E89-2835-46E9-8C76-C3F4A4161804}\RP5\A0005327.sys) C:\WINDOWS\ResPatch\ResPatch.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) Файл успешно помещен в карантин (C:\WINDOWS\ResPatch\ResPatch.exe) C:\WINDOWS\ResPatch\Selector.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%) Файл успешно помещен в карантин (C:\WINDOWS\ResPatch\Selector.exe) |
Все это похоже на файловый вирус(могу ошибаться). Свою АВЗ(которой первые логи делал), закатай в zip архив с паролем virus и залей на http://www.slil.ru/ (запости ссылку) и здесь проверь http://www.virustotal.com/ru/ Потом удали папку АВЗ полностью(старую)
Закрой все приложения, касперского и выполни скрипт в АВЗ:
| QUOTE |
begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\System Volume Information\_restore{0AE80E89-2835-46E9-8C76-C3F4A4161804}\RP5\A0005327.sys',''); QuarantineFile('C:\WINDOWS\System32\cscui.dll',''); QuarantineFile('C:\WINDOWS\System32\cscript.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys',''); QuarantineFile('spcp.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\abt1ij5r.SYS',''); QuarantineFile('.sys',''); DeleteFile('C:\System Volume Information\_restore{0AE80E89-2835-46E9-8C76-C3F4A4161804}\RP5\A0005327.sys'); DeleteFile('.sys'); CreateQurantineArchive(GetAVZDirectory+'virus.zip'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Система перезагрузится.
Карантин из папки AVZ тоже залей http://www.slil.ru/ отдельно.
Повтори все логи, оставив запущеным только браузер. Интернет, каспера(приостановка защиты через трей) тоже отключи.
Это сообщение отредактировал Semenka - 19-04-2009 - 06:47
Это сообщение отредактировал Semenka - 19-04-2009 - 06:53
Докторам файл отправил, архивы пока заливаются. Логи тож будут чуть позже.
Есть у меня такая мысль, по поводу ошибок доступа к CD. Я им не пользовался последние дней ...дцать, но он был расшарен, равно как и ещё полвинта. Когда-то нужно было для внутренней локалки.
Мог ли за неделю аптайма какой-нить красноглазик обойти файерволы каспера и модема, поломать мой комп и слегка в нем похозяйничать?
Тогда ошибки сценариев и внезапно изменяющиеся ехе-шники вполне объяснимы...
Можно это как-нить проверить?
Блин Пока заливал архив, начал чистить свистелки и перделки, потом увлекся, потом решил поэкспериментировать. В результате получил рухнувшую винду, у которой в процессе восстановления отваливается клавиатура с мышью. В аккурат перед вводом серийнега.
Слава Богу, есть ещё бук :)
Архив не залился, он больше 50 мб. Но походу это уже не актуально...
В любом случае, за помощь огромное спасибо
| QUOTE |
| Мог ли за неделю аптайма какой-нить красноглазик обойти файерволы каспера и модема, поломать мой комп и слегка в нем похозяйничать? |
Не думаю. Пока не знаем имя(тип), гадать бесполезно. Скорее всего путь проникновения был классический: зараженная флешка(диск), скачанный из сети и запущенный пакет с вшитым зверьком, которого нет в базах АВ, или дыра в браузере(исполнился скрипт, кот-й дропнул downloader' а -dll, exe, кот-й в свою очередь, подтянул основные силы). Обойти firewall(програмный+аппаратный) в режиме контроля всех портов незамечено очень непросто(Kido-aka-Conficker по p2p это умеет делать). Красноглазикам целящимся в 23, 445... порты своими быдло-снифферами это не подсилу. Зато обойти эту же защиту изнутри, для трояна не представляет особого труда. Как безопасно сконфигурировать систему и браузер, можно прочитать здесь http://security-advisory.virusinfo.info/EBook30.htm Там же на главной, для ленивых есть файл конфигурации для системных служб.
Пока что рекомендую не пользоваться флешками, не делать бекапов, не подключать другие ПК в общую сетку. Это позволит избежать дальнейшего заражения.
PS. Проверить относительную надежность стенок можно здесь https://www.grc.com/x/ne.dll?bh0bkyd2 Proceed\all service ports
Это сообщение отредактировал Semenka - 19-04-2009 - 15:54
| QUOTE (t-kvark @ 19.04.2009 - время: 15:42) |
| Блин Пока заливал архив, начал чистить свистелки и перделки, потом увлекся, потом решил поэкспериментировать. В результате получил рухнувшую винду, у которой в процессе восстановления отваливается клавиатура с мышью. В аккурат перед вводом серийнега. Слава Богу, есть ещё бук :) Архив не залился, он больше 50 мб. Но походу это уже не актуально... В любом случае, за помощь огромное спасибо |
Формат раздела и переустановка системы в случае с файловым вирусом(если это он), может не помочь(помочь на время). Он обычно проникает во все разделы, так что приходится форматировать HDD полностью, без сохранения данных. [email protected] сюда тоже образец с паролем virus отправь, если еще сохранился, - помоги избежать заражения другим.
Это сообщение отредактировал Уран - 21-04-2009 - 18:20
| QUOTE (Уран @ 21.04.2009 - время: 18:19) |
| Добрый Вечер! Помогите пожалуйста, может кто сталкивался с подобной проблемой. Сегодня на работе включил комп, загрузка доходит до загрузочного экрана (логотип ХР и внизу полоска бегает), а потом начинает заново загружаться и так по кругу. Безопасный режим и запуск последней удачной конфигурации - тоже самое. Оперативку ставил другую, не помогает, батарейку на БИОСЕ вытаскивал и обратно - ноль эффекта. Визуально материнку посмотрел,вроде ничего не вспучилось. Что это может быть? И еще один момент, вырубаю питание (потому что по другому эти цикличные запуско-перезагрузки не прекратить), затем включаю питание на сетевом фильтре и комп сразу же начинает работать, минуя кнопку включения, т.е. я кнопку Power совсем не трогаю... Заранее спасибо, комп очень нужен, форматировать нежелательно, диск не разбит - все полетит. Заранее спасибо. |
Файл X:\Windows\system32\userinit.exe поменяйте на нормальный из дистрибутива или взятый из чистой системы(ваш поврежден\модифицирован\подменен). Это можно сделать загрузившись с любого LIve-CD. Вот этим можно воспользоваться, заодно и систему проверить
http://freedrweb.com/livecd/
Или в режиме восстановления винду накактите(должна сама восстановить его). Потом уже в причинах можно начинать разбираться.
Это сообщение отредактировал Semenka - 22-04-2009 - 16:08
| QUOTE (Уран @ 21.04.2009 - время: 18:19) |
| Заранее спасибо. |
По F8 выберите "не перезагружать компьютер после BSOD"
А то что включается, так то в бивисе наверняка сказано "включаться после подачи питания".
Semenka, чёй-то я не осилил смысл совета.
Это сообщение отредактировал JeyLo - 22-04-2009 - 15:59
| QUOTE (JeyLo @ 22.04.2009 - время: 15:58) |
| Semenka, чёй-то я не осилил смысл совета. |
Чловек спросил "кто сталкивался с такой ситуацией?" Я сталкивался именно с такой ситуацией. Помогало) Вот и написал. Не претендую на правоту, но может помочь.
| QUOTE (Semenka @ 22.04.2009 - время: 16:15) |
| Чловек спросил "кто сталкивался с такой ситуацией?" Я сталкивался именно с такой ситуацией. Помогало) Вот и написал. Не претендую на правоту, но может помочь. |
| QUOTE |
| Включается тумблер питания. Блок питания проводит самодиагностику. Когда все электрические параметры в норме БП посылает сигнал Power Good процессору. Время между включением питания и уходом сигнала обычно 0.1-0.5 секунд. Таймер микропроцессора получает сигнал Power Good С получением этого сигнала таймер перестает посылать сигнал Reset процессору, позволяя тому включиться. CPU начинает выполнять код ROM BIOS Процессор загружает ROM BIOS начиная с адреса FFFF:0000. По этому адресу прописан только переход на адрес настоящего кода BIOS ROM. Система выполняет начальный тест железа Каждая ошибка, встречающаяся на этом этапе сообщается определенными звуковыми кодами (в прошлом биканьем, сейчас уже вероятно более современно - голосом), так как видео система еще не инициализирована. BIOS ищет адаптеры, которые могут потребовать загрузки своего BIOS-а Самым типичным случаем в этом случае является видео карта. Загрузочная процедура сканирует память с адреса C000:0000 по C780:0000 для поиска видео ROM. Таким образом загружаются системы всех адаптеров. ROM BIOS проверяет выключение это или перезагрузка Процедура два байта по адресу 0000:0472. Любое значение отличное от 1234h является свидетельством "холодного" старта. Если это включение ROM BIOS запускает полный POST (Power On Self Test) Если это перезагрузка, то из POST процедуры исключается проверка памяти. Процедуру POST можно разделить на три компоненты: Видео тест инициализирует видео адаптер, тестирует карту и видео память, показывает конфигурацию или возникшие ошибки Идентификация BIOS-а показывает версию прошивки, производителя и дату. Тест памяти проверяет чипы памяти и подсчитывает размер установленной памяти. Ошибки, которые могут возникнуть в ходе POST проверки можно разделить на смертельные и не очень :). Во втором случае они показываются на экране, но позволяют продолжить процесс загрузки. Ясно, что в первом случае процесс загрузки останавливается, что обычно сопровождается серией бип-кодов. BIOS читает конфигурационную информацию из CMOS Небольшая область памяти (64 байт) питается от батарейки на материнской платы. Самое главное для загрузки в ней - порядок, в котором должны опрашиваться приводы, какой из них должен быть первым - дисковод, CD-ROM или винчестер. Если первым является жесткий диск, BIOS проверяет самый первый сектор диска на наличие Master Boot Record (MBR). Для дисковода проверяется Boot Record в первом секторе.Master Boot Record - первый сектор на цилиндре 0, 0 головке, 512 байт размером. Если она находится, то загружается в память по адресу 0000:7C00, потом проверяется на правильную сигнатуру - два последних байта должны быть 55AAh. Отсутствие MBR или этих проверочных байт останавливает процесс загрузки и выдает предупреждение. Сама MBR состоит из двух частей - системного загрузчика (partition loader или Boot loader), программы, которая получает управление при загрузке с этого жесткого диска; таблицы разделов (партиций), которая содержит информацию о логических дисках, имеющихся на жестком диске. Правильная MBR запись записывается в память и управление передается ее коду Процесс установки нескольких операционных систем на один компьютер обычно заменяет оригинальный лоадер на свою программу, которая позволяет выбрать с какого диска производить остальную загрузку. Дальше Boot Loader проверяет таблицу партиций в поисках активной. Загрузчик дальше ищет загрузочную запись (Boot Record) на самом первом секторе раздела. В данном случае Boot Record это еще 512 байт - таблица с описанием раздела (количество байт в секторе, количество секторов в кластере и т.п.) и переход на первый файл операционной системы (IO.SYS в DOS). Операционная система Управление передается операционной системе. Boot Record проверяется на правильность и если код признается правильным то код загрузочного сектора исполняется как программа. Загрузка Windows XP контролируется файлом NTLDR, находящемся в корневой директории системного раздела. NTLDR работает в четыре приема: Начальная фаза загрузки Выбор системы Определение железа Выбор конфигурации В начальной фазе NTLDR переключает процессор в защищенный режим. Затем загружает соответствующий драйвер файловой системы для работы с файлами любой файловой системы, поддерживаемой XP. Если в корневой директории есть BOOT.INI, то его содержание загружается в память. Если в нем есть записи более чем об одной операционной системе, NTLDR останавливает работу - показывает меню с выбором и ожидает ввода от пользователя определенный период времени. Если такого файла нет, то NTLDR продолжает загрузку с первой партиции первого диска, обычно это C:\. Если в процессе выбора пользователь выбрал Windows NT, 2000 или XP, то проверяется нажатие F8 и показ соответствующего меню с опциями загрузки. После каждой удачной загрузки XP создает копию текущей комбинации драйверов и системных настроек известную как Last Known Good Configuration. Этот коллекцию можно использовать для загрузки в случае если некое новое устройство внесло разлад в работу операционной системы. Если выбранная операционная система XP, то NTLDR находит и загружает DOS-овскую программу NTDETECT.COM для определения железа, установленного в компьютере. NTDETECT.COM строит список компонентов, который потом используется в ключе HARDWARE ветки HKEY_LOCAL_MACHINE реестра. Если компьютер имеет более одного профиля оборудования программа останавливается с меню выбора конфигурации. После выбора конфигурации NTLDR начинает загрузку ядра XP (NTOSKRNK.EXE). В процессе загрузки ядра (но перед инициализацией) NTLDR остается главным в управлении компьютером. Экран очищается и внизу показывается анимация из белых прямоугольников. Кроме ядра загружается и Hardware Abstraction Layer (HAL.DLL), дабы ядро могло абстрагироваться от железа. Оба файла находятся в директории System32. NTLDR загружает драйвера устройств, помеченные как загрузочные. Загрузив их NTLDR передает управление компьютером дальше. Каждый драйвер имеет ключ в HKEY_LOCAL_MACHINE\SYSTEM\Services. Если значение Start равно SERVICE_BOOT_START, то устройство считается загрузочным. Для кажого такого устройства на экране печатается точка. NTOSKRNL в процессе загрузки проходит через две фазы - так называемую фазу 0 и фазу 1. Первая фаза инициализирует лишь ту часть микроядра и исполнительные подсистемы, которая требуется для работы основных служб и продолжения загрузки. На этом этапе на экране показывается графический экран со статус баром. XP дизейблит прерывания в процессе фазы 0 и включает их только перед фазой 1. Вызывается HAL для подготовки контроллера прерываний. Инициализируются Memory Manager, Object Manager, Security Reference Monitor и Process Manager. Фаза 1 начинается когда HAL подготавливает систему для обработки прерываний устройств. Если на компьютере установлено более одного процессор они инициализируются. Все исполнительные подсистемы реинициализируются в следующем порядке: Object Manager Executive Microkernel Security Reference Monitor Memory Manager Cache Manager LPCS I/O Manager Process Manager Инициализация Менеджера ввода/Вывода начинает процесс загрузки всех системных драйверов. С того момента где остановился NTLDR загружаются драйвера по приоритету. Сбой в загрузке драйвера может заставить XP перезагрузиться и попытаться восстановить Last Known Good Configuration. Последняя задача фазы 1 инициализации ядра - запуск Session Manager Subsystem (SMSS). Подсистема ответственна за создание пользовательского окружения, обеспечивающего интерфейс NT. SMSS работает в пользовательском режиме, но в отличии от других приложений SMSS считается доверенной частью операционной системы и "родным" приложением (использует только исполнительные функции), что позволяет ей запустить графическую подсистему и login. SMSS загружает win32k.sys - графическую подсистему. Драйвер переключает компьютер в графический режим, SMSS стартует все сервисы, которые должны автоматически запускаться при старте. Если все устройства и сервисы стартовали удачно процесс загрузки считается удачным и создается Last Known Good Configuration. Процесс загрузки не считается завершенным до тех пор, пока пользователь не залогинился в систему. Процесс инициализируется файлом WINLOGON.EXE, запускаемым как сервис и поддерживается Local Security Authority (LSASS.EXE), который и показывает диалог входа в систему. Это диалоговое окно показывается примерно тогда, когда Services Subsystem стартует сетевую службу. |
И где тут userinit?
| QUOTE (Semenka @ 22.04.2009 - время: 16:42) |
| Все верно. Но пусть поробует, если по другому ничего не получится. |
Можно еще шину попинать. :)
| QUOTE (JeyLo @ 22.04.2009 - время: 16:22) |
| И где тут userinit? |
После винлогона :) Но там логичны проблемы со входом пользователя, а не с загрузкой системы.
Тема какая-то несчастливая... Второй раз за двадцать постов импотенцию ампутацией вылечили
П.С. Доктора вирусов не нашли, до остальных архив к сожалению не дожил
Это сообщение отредактировал t-kvark - 22-04-2009 - 18:59
| QUOTE (Уран @ 22.04.2009 - время: 17:31) |
| Решил попробовать восстановить Винду, вставил диск установочный, грузится, выбираю восстановить и тут система спрашивает пароль администратора (мой пароль) |
Хм... это понял. Консоль восстановления и восстановление имеющейся копии программой установки - весчи зело разные, ну да ладно.
| QUOTE |
| ввожу его, не принимает хоть ты тресни. Пароль 1000% верный. |
Это тоже понял. Побит файл с паролями из папки config, и, скорее всего не он один. Походу это и есть причина отказа. Тогда нужно в срочном порядке тестить винт и оперативу.
| QUOTE |
| И кнопка работает как ей положено. |
А вот этого реально не понял. Причем тут кнопка? 0_о
И еще вопрос, не пинайте сильно если не в тему, просто раз уж начал спрашивать в этой теме..... У коллеги на работе при сохранении любого файла Exel создается файл с таким же названием, но с расширением THM. Прогнал на вирусы, нашелся один троян, но проблема не исчезла. Что это? Вирус или опция Exel (и как ее отключить). Заранее благодарю.
Это сообщение отредактировал Уран - 22-04-2009 - 22:52
| QUOTE (Уран @ 22.04.2009 - время: 17:31) |
| Пароль 1000% верный. |
Он спрашивает пароль Администратора, а не твой аккаунт (хоть и с админскими правами)
По поводу винта и оперативы.
Когда-то давно я мучил комп, на котором после получасовой поездки в другой район внезапно появился пароль администратора. Система была свежеустановленная, кроме драйверов ничего не ставилось.
Если говорить просто, в системе оказался побит файл с паролями.
Возможно, у вас похожий слуйчай. Только впридачу к паролям навернулось ещё что-то критичное для системы. Файлы могут портиться по трем причинам:
1. Проблемы с жестким диском. Сбойные сектора например.
Сиптомы болезни похожи на склероз - только что помнил и вдруг забыл :) Практически не лечится.
Для диагностики лучше всего скачать Викторию и протестить на винте всё что тестится, включая механику. Но перед использованием нужно внимательно почитать мануал.
Если лениво, можно обойтись стандартным чекером Винды: свойства диска - сервис - проверить диск. Ставим обе галки, нажимаем "начать проверку". Сбойные сектора найдет.
2. Оперативная память.
Это ближе к рассеянности внимания, когда комьютер не способен удержать в памяти информацию и сохраняет в файл только те остатки, что помнит в данный момент. Это не лечится совсем, глючную плашку надо менять.
Диагностируется программой MemoryTest 86+. Програма простая как дверь, нужно только записать на диск и с этого диска загрузиться.
3. Проблемы операционной системы.
Причин может быть много, следствие одно.
Похоже на шизофрению, когда комп всё знает и понимает, но при этом творит непонятно что. В домашних условиях лечится легко, но заранее предсказать почти невозможно.
Так как третья причина уже не актуальна, остались только оператива и винт :)
П.С. Теоретически, глюки процессорных вычислений тоже могут приводить к ошибкам в файлах. Но на практике кривой процессор проявляет себя ещё до возможности что-то записать на винт :)
| QUOTE (Уран @ 22.04.2009 - время: 22:40) |
| И еще вопрос, не пинайте сильно если не в тему, просто раз уж начал спрашивать в этой теме..... У коллеги на работе при сохранении любого файла Exel создается файл с таким же названием, но с расширением THM. Прогнал на вирусы, нашелся один троян, но проблема не исчезла. Что это? Вирус или опция Exel (и как ее отключить). Заранее благодарю. |
У вас там не Open Office юзается?