Сбой функционала Windows XP или работа вирусов

@Алексей_01 · Регистрация: 21.01.2013

Студворк — интернет-сервис помощи студентам

Windows XP HE sp3
MSI 945 Neo2-f, Intel Pentium D 945, NV GF 7600gt
стоит фаервол др веб, комп с кучей банковских клиентов и приложений, на переустановку оси не отсылать.

В один прекрасный момент комп берет, перезагружается и выходит с такими фокусами:
- отсутствует панель задач полностью
- панель настройки учетных записей пуста
- копирование\вставка возможна только в файловых командерах. Контексное меню в окнах доступно, но в буфер видимо ничего не помещается.
- невозможно перемещение объектов по рабочему столу
- недоступна подсистема печати
- при запуске восстановления контрольной точки выдается сообщение в духе "у вас ничего не выйдет"
При этом диспетчер задач работает, панель администратора доступна, инет пашет, проги работают.
В безопасном режиме наблюдалась та же картина, при попытке восстановления работоспособности ОС с диска, не нашлась запись об ОС - соответственно ничего сделать было нельзя.
При проверке cureit в безопасном режиме удалились авторанеры и пара винлоков, ничего не изменилось.
Пользование avz в части панели восстановления настроек системы не дало ощутимых результатов. Применение различных исправлений реестра по советам из сети по данной проблематике не дало результатов.

Хотелось бы разобраться, в чем дело. Если требуются какие-то логи, предоставлю конечно по запросу.

@Persk · 29.05.2013, 17:34

Рекомендации по оформлению запроса об оказании помощи в разделах Windows
Логи, из рекомендаций выше крайне желательны

qvad · 29.05.2013, 18:36

sfc /scannow попробуйте, хотя терзают смутные сомнения...

Сообщение от Алексей_01

у вас ничего не выйдет

ScrollLock · 29.05.2013, 21:01

еще похоже на проблемы с диском ...
chkdsk c: /p /r
где с - буква раздела с системой

@Алексей_01 · 30.05.2013, 10:13 **[ТС]**

скан и чек диск не делал, человеку надо срочно отсылать че-то в банк. логи авз и хиджака тут

@Persk · 30.05.2013, 17:07

Создайте точку восстановления
Закройте все действующие программы
Отключите антивирус и защитное ПО
Пофиксите в в HiJackThis следующие строки

Code
1
2
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

Как "пофиксить" с помощью HijackThis

Скачайте АВЗ
Выполните скрипт
Файл - Выполнить скрипт

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\drivers\Wingn88.sys','');
 QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll','');
 QuarantineFile('C:\autorun.wsh','');
 QuarantineFile('C:\WINDOWS\system32\wlctrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\drivers\Wingn88.sys');
 DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
 DeleteFile('C:\autorun.wsh');
 DeleteFile('C:\WINDOWS\system32\wlctrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, о результатах отпишитесь

@Алексей_01 · 31.05.2013, 10:57 **[ТС]**

хиджак пофиксил ссылки на webalta, авз скрипт выполнил без ошибок, после перезагрузки изменений в проблематике не произошло.
ДА, и на вызов rstrui.exe вылезает "Восстановлению системы не удается защитить компьютер. Перезагрузите комп и повторно запустите восстановление системы"

@Kиpилл · 31.05.2013, 12:02

Да там вирья у вас!
Хоть лопатой греби)))

@Алексей_01 · 31.05.2013, 13:56 **[ТС]**

sfc и chkdsk сделал. без изменений. И еще одно. До проблемы было создано 3 учетки, 2 я посмотрел, одно и тоже, третью не стал, подумал там похожая ситуация. Но сейчас вот залез и там панель задач присутствует, но все остальные симптомы сохранились, т.е. создать новую учетку нельзя, восстановление тоже, проблема копирования сохранилась и пр.

@Kиpилл · 31.05.2013, 14:50

Алексей_01, там у вас вирь есть,он под любой учеткой будет присутствовать.
Надо лечить однако.

@Persk · 31.05.2013, 15:28

Алексей_01, выложите новый лог АВЗ, ничего не удаляйте

@Алексей_01 · 31.05.2013, 15:32 **[ТС]**

В бtзопасном проверил cureit, нашел Adware.Webalta9, Adware.Webalta11, в карантине висел также Trojan.Zekos.

Сообщение от Koza Nozdri

Алексей_01, там у вас вирь есть,он под любой учеткой будет присутствовать.
Надо лечить однако.

вы как-то неопределенно излагаете. Что за вирь, чем лечить.

Надо наверное ключи реестра править, но копии реестра конечно нет, встроенными средствами восстановить не выходит, да и не понятно что конкретно править

@Persk · 31.05.2013, 15:49

Алексей_01,

Сообщение от Persk

выложите новый лог АВЗ, ничего не удаляйте

Посмотрим изменения

@Алексей_01 · 31.05.2013, 15:56 **[ТС]**

Сообщение от Persk

Алексей_01,

Посмотрим изменения

KL_syscure.zip

@Persk · 31.05.2013, 16:09

Делаем точку востановления

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
begin
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\System Volume Information\_restore{2DF3B47D-8F51-4502-96E0-983F3A44E3AF}\RP716\A0446477.sys');
 DeleteService('tcpsr');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(6);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

@Kиpилл · 31.05.2013, 17:20

Сообщение от Алексей_01

вы как-то неопределенно излагаете. Что за вирь, чем лечить.
Надо наверное ключи реестра править, но копии реестра конечно нет, встроенными средствами восстановить не выходит, да и не понятно что конкретно править

ничего не надо править.
а что за вирь и чем лечить -это дело специалистов,я не в праве.
тем более вам уже помогают,нельзя смешивать скрипты.

@Алексей_01 · 31.05.2013, 21:26 **[ТС]**

Сообщение от Persk

Делаем точку востановления

вынужден прерваться до понедельника, как только буду у машины, сразу сделаю

@i368 · 01.06.2013, 00:26

Большие изменение внесены в explorer,с помощью реестра. Сброс параметров explorer.exe попробуйте ) А потом делайте,то что нужно

@Rakot568 · 03.06.2013, 07:43

Импортируйте реестр с другого рабочего компьютера на свой.

@Kиpилл · 03.06.2013, 08:10

Хорош чушь нести народ.
Хотите впороть ОС-начните со своей.

Новые блоги и статьи Все статьи Все блоги /
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ
Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .	Использование значений реквизитов справочника в документе, с определенными условиями и правами Maks 07.04.2026 1. Контроль срока действия договора Алгоритм из решения ниже реализован на примере нетипового документа "ЗаявкаНаРаботу", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если. . .	Доступность команды формы по условию Maks 07.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: сделать доступной кнопку (команда формы "ЗавершитьСписание") при. . .

@Алексей_01 0 / 0 / 0 Регистрация: 21.01.2013 Сообщений: 18

	Сбой функционала Windows XP или работа вирусов 29.05.2013, 17:06. Показов 4577. Ответов 52 Метки нет (Все метки) Windows XP HE sp3 MSI 945 Neo2-f, Intel Pentium D 945, NV GF 7600gt стоит фаервол др веб, комп с кучей банковских клиентов и приложений, на переустановку оси не отсылать. В один прекрасный момент комп берет, перезагружается и выходит с такими фокусами: - отсутствует панель задач полностью - панель настройки учетных записей пуста - копирование\вставка возможна только в файловых командерах. Контексное меню в окнах доступно, но в буфер видимо ничего не помещается. - невозможно перемещение объектов по рабочему столу - недоступна подсистема печати - при запуске восстановления контрольной точки выдается сообщение в духе "у вас ничего не выйдет" При этом диспетчер задач работает, панель администратора доступна, инет пашет, проги работают. В безопасном режиме наблюдалась та же картина, при попытке восстановления работоспособности ОС с диска, не нашлась запись об ОС - соответственно ничего сделать было нельзя. При проверке cureit в безопасном режиме удалились авторанеры и пара винлоков, ничего не изменилось. Пользование avz в части панели восстановления настроек системы не дало ощутимых результатов. Применение различных исправлений реестра по советам из сети по данной проблематике не дало результатов. Хотелось бы разобраться, в чем дело. Если требуются какие-то логи, предоставлю конечно по запросу. 0

@Persk Модератор 8748 / 3373 / 244 Регистрация: 25.10.2010 Сообщений: 13,603
	29.05.2013, 17:34
	Рекомендации по оформлению запроса об оказании помощи в разделах Windows Логи, из рекомендаций выше крайне желательны 0

ScrollLock киберпаразит 9721 / 2786 / 188 Регистрация: 14.06.2011 Сообщений: 9,592
	29.05.2013, 21:01
	еще похоже на проблемы с диском ... chkdsk c: /p /r где с - буква раздела с системой 0

@Алексей_01 0 / 0 / 0 Регистрация: 21.01.2013 Сообщений: 18
	31.05.2013, 10:57 [ТС]
	хиджак пофиксил ссылки на webalta, авз скрипт выполнил без ошибок, после перезагрузки изменений в проблематике не произошло. ДА, и на вызов rstrui.exe вылезает "Восстановлению системы не удается защитить компьютер. Перезагрузите комп и повторно запустите восстановление системы" 0

@Kиpилл Особый статус 8429 / 1708 / 87 Регистрация: 15.04.2011 Сообщений: 5,520
	31.05.2013, 12:02
	Да там вирья у вас! Хоть лопатой греби))) 0

@Алексей_01 0 / 0 / 0 Регистрация: 21.01.2013 Сообщений: 18
	31.05.2013, 13:56 [ТС]
	sfc и chkdsk сделал. без изменений. И еще одно. До проблемы было создано 3 учетки, 2 я посмотрел, одно и тоже, третью не стал, подумал там похожая ситуация. Но сейчас вот залез и там панель задач присутствует, но все остальные симптомы сохранились, т.е. создать новую учетку нельзя, восстановление тоже, проблема копирования сохранилась и пр. 0

@Kиpилл Особый статус 8429 / 1708 / 87 Регистрация: 15.04.2011 Сообщений: 5,520
	31.05.2013, 14:50
	Алексей_01, там у вас вирь есть,он под любой учеткой будет присутствовать. Надо лечить однако. 0

@Persk Модератор 8748 / 3373 / 244 Регистрация: 25.10.2010 Сообщений: 13,603
	31.05.2013, 15:28
	Алексей_01, выложите новый лог АВЗ, ничего не удаляйте 0

@i368 3 / 3 / 1 Регистрация: 30.05.2013 Сообщений: 35
	01.06.2013, 00:26
	Большие изменение внесены в explorer,с помощью реестра. Сброс параметров explorer.exe попробуйте ) А потом делайте,то что нужно 0

@Rakot568 15 / 15 / 4 Регистрация: 11.04.2013 Сообщений: 181
	03.06.2013, 07:43
	Импортируйте реестр с другого рабочего компьютера на свой. 0

@Kиpилл Особый статус 8429 / 1708 / 87 Регистрация: 15.04.2011 Сообщений: 5,520
	03.06.2013, 08:10
	Хорош чушь нести народ. Хотите впороть ОС-начните со своей. 1

Сбой функционала Windows XP или работа вирусов

Решение