Ошибка в данных CRC после атаки вирусов - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Ошибка в данных CRC после атаки вирусов (http://forum.oszone.net/showthread.php?t=207188)

Ошибка в данных CRC после атаки вирусов

Проблема в следующем. Мне достался нетбук Windows XP SP3 с кучей вирусов. Я поставил нод, он сразу же нашел около 15 вирусов, но полную проверку не получилось сделать, т.к. она зависала примерно на 10%. Ноут все еще безбожно тормозит и при копировании файлов вылетает ошибка в данных (CRC), даже если захожу через безопасный режим (хотя и он в начале не работал - вылетал синий экран). При помощи специального софта получилось скопировать порядка 4/5 всех данных, но хотелось бы получить и оставшиеся. Как вы считаете, как можно это исправить?

Цитата:

Цитата TheCoon

как можно это исправить? »

может, пролечиться?

Выполните рекомендации

Выполнил рекомендации, проблема не исчезла.
log.txt
info.txt
virusinfo_syscure.zip
virusinfo_syscheck.zip

Цитата:

Цитата TheCoon

проблема не исчезла. »

так мы еще и не начинали лечение :)
отключаю вам автозапуск с носителей

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('d:\autorun.inf','');

 DeleteFile('d:\autorun.inf');

RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

Сделайте повторные логи AVZ

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
_____________________________________________________________________________

mblog
virusinfo_syscure.zip
virusinfo_syscheck.zip
Также сделал chkdsk (который длился 1.5 дня), но avz все равно ругался, что есть поврежденные сектора и надо бы еще сделать chkdsk.

Удалите в МВАМ все кроме этого

Код:

Заражённые файлы:

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP217\A0059799.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP217\A0059807.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP218\A0059820.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP219\A0059833.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP219\A0059834.exe (Trojan.Dropper) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP223\A0059891.exe (Trojan.Dropper) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP238\A0061077.exe (Trojan.Dropper) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP198\A0058521.exe (Trojan.Dropper) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP207\A0058669.exe (Trojan.Dropper) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP207\A0059668.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP209\A0059691.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP209\A0059703.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP210\A0059716.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP210\A0059722.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP212\A0059738.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP213\A0059751.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP215\A0059773.dll (Worm.AutoRun.SDA) -> No action taken.

c:\system volume information\_restore{f297551b-35bf-4708-9630-a519e7c4e65f}\RP216\A0059786.dll (Worm.AutoRun.SDA) -> No action taken.

c:\WINDOWS\$ntuninstallkb979683$\ntkrnlmp.exe (Malware.Gen) -> No action taken.

и отпишитесь о самочувствии

Дело в том, что я сразу после проверки все зараженные файлы удалил)
По поводу самочувствия - после chkdsk ноут стал заметно быстрее работать, почти все файлы копируются без ошибки CRC (но не все). Есть также мелкие ошибки, например, скайп ни в какую не хочет работать. Может стоит попробовать откатиться к какой-нибудь старой точке восстановления?

Цитата:

Цитата TheCoon

какой-нибудь старой точке восстановления? »

боюсь, точки у вас зараженные были, это видно по логам

поэтому чистим их в обязательном порядке

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

procedure ClearSystemRestore;

var

  Script: TStringList;

  winName: string;

begin

  if IsNT then

    begin

      winName := UpperCase(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion', 'ProductName'));

      case (Pos('WINDOWS VISTA', winName) > 0) or (Pos('WINDOWS 7', winName) > 0) of

        True:

          begin

            ExecuteFile('wmic', 'shadowcopy delete', 0, 60000, False);

            ExecuteFile('wmic', '/Namespace:\\root\default Path SystemRestore Call CreateRestorePoint "PointSafeZone", 100, 12', 0, 60000, False);

          end;

        False:

          begin

            Script := TStringList.Create;

            Script.Add(

              'Set objSR = GetObject("winmgmts:\\.\root\default:SystemRestore")' + #13#10 +

              'dResult = objSR.Disable("")' + #13#10 +

              'WScript.Sleep 5000' + #13#10 +

              'eResult = objSR.Enable("")' + #13#10 +

              'WScript.Sleep 5000' + #13#10 +

              'Set wshEnv = CreateObject("WScript.Shell").Environment("Process")' + #13#10 +

              'sysDrive = wshEnv("SYSTEMDRIVE")' + #13#10 +

              'Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")' + #13#10 +

              'For Each objDisk In objWMI.ExecQuery("Select DeviceID From Win32_LogicalDisk Where DriveType = 3")' + #13#10 +

              'If objDisk.DeviceID <> sysDrive Then objSR.Disable objDisk.DeviceID & "\"' + #13#10 +

              'Next');

            Script.SaveToFile('ClearSR.vbs');

            ExecuteFile('wscript.exe', 'ClearSR.vbs', 0, 60000, True);

            DeleteFile('ClearSR.vbs');

            ClearLog;

            Script.Free;

          end;

      end;

    end;

end;



begin

  ClearSystemRestore;

end.

или так

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Для ускорения загрузки и работы системы выполните следующее:

2. проверка целостности системных файлов. Вставить диск с дистрибутивом.
пуск - выполнить - вбить

sfc.exe /scannow
нажать enter

3. дефрагментация дисков. Пуск - программы- стандартные - служебные -дефрагментация.
4. вручную запустите службы, запуск которых отмечен как "авто"
5. Откройте папку C:\Windows\prefetch удалите файл ntosboot-b00dfaad.pf - это немного ускорит загрузку.

Добавьте в реестр:

Код:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\MemoryManagement\PrefetchParameters]

"EnablePrefetcher"=dword:00000003

Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление. При этом служба "планировщик заданий" должна быть запущена.