Отправляет email-рассылки с помощью сервиса Sendsay

RFpro.ru: STOP-ошибки Windows: BSoD ("синий экран смерти")

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 213 RSS
  Сентябрь 2010  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


За последние 60 дней ни разу не выходила


Сайт рассылки: http://rfpro.ru/
Открыта: 11-11-2009

Автор
Калашников О.А.

Статистика

213 подписчиков
0 за неделю
  Все выпуски  

RFpro.ru: STOP-ошибки Windows: BSoD ("синий экран смерти")


Хостинг портала RFpro.ru:
Московский хостер
Профессиональный ХОСТИНГ на базе Linux x64 и Windows x64

РАССЫЛКИ ПОРТАЛА RFPRO.RU

Чемпионы рейтинга экспертов в этой рассылке

Гуревич Александр Львович
Статус: Профессионал
Рейтинг: 4614
∙ повысить рейтинг » 		ValeryN
Статус: Мастер-Эксперт
Рейтинг: 3211
∙ повысить рейтинг » 		Kom906
Статус: Студент
Рейтинг: 2328
∙ повысить рейтинг »

/ КОМПЬЮТЕРЫ И ПО / Установка и настройка ОС / STOP-ошибки Windows: BSoD ("синий экран смерти")

Номер выпуска:30
Дата выхода:10.09.2010, 19:00
Администратор рассылки:F®ost, Модератор
Подписчиков / экспертов:155 / 83
Вопросов / ответов:1 / 2

Вопрос № 179854: Здравствуйте, уважаемые эксперты! Не знаю, в ту ли ветку форума задаю вопрос, пусть в этом разберутся модераторы. Проблема же у меня следующая. Мне принесли нетбук, заражённый Winlock’ом. После загрузки Windows на рабочем столе появлялся чёрн...

Вопрос № 179854:

Здравствуйте, уважаемые эксперты!
Не знаю, в ту ли ветку форума задаю вопрос, пусть в этом разберутся модераторы. Проблема же у меня следующая.
Мне принесли нетбук, заражённый Winlock’ом. После загрузки Windows на рабочем столе появлялся чёрный экран со следующей надписью:
«Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранения возможности распространения данных материалов с Вашего ПК в сети Интернет.
Для разблокировки операционной системы Вам необходимо:
Пополнить счёт абонента БИЛАЙН № 89035705919 на сумму 360 рублей. После оплаты на выданном терминалом чеке оплаты, Вы найдёте код, который необходимо внести в поле, расположенное ниже.
По завершению оп латы, на выданном чеке оплаты Вам будет выдан код разблокировки который необходимо ввести в форму расположенную ниже. После разблокировки системы Вам необходимо удалить все незаконно размещённые материалы на Вашем ПК.
В случае отказа от оплаты, все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены в связи с угрозой Вашего ПК пользователям сети Интернет».
Причём этот экран появлялся под всеми учётными записями, а всего на нетбуке их пять, и все с правами администратора. Учётная запись гостя отключена. При попытке загрузиться в безопасном режиме, машина уходила в перезагрузку, даже не доходя до экрана приветствия. В моей практике я сталкивался с Winlock’ом, но он был только под одной из учётных записей, и, зайдя из-под другой, и запустив CureIt, я от него избавился.
Первое, что я предпринял, это скачал Dr. Web LiveCD, а так как это нетбук, и привода CDROM в нём нет, я на своём компьютере попытался сделать загрузочный USB-флэшнакопитель, но он у меня не получился. Вроде бы компьютер написал, что флэшка готова, но после того, как я вставил её в нетбук, он написал мне, что операционная система не найдена («Operating system not found»).
Далее я посетил сайт лаборатории Касперского, и, введя там номер телефона из вышеуказанного текста, я получил целый список кодов для разблокирования операционной системы. Подошёл первый же код из списка (+9999999), после чего была проведена полная проверка компьютера утилитой CureIt в обычном режиме работы компьютера. Во время быстрой проверки по умолчанию, утилита поймала Trojan.Siggen1.34639 во временном файле с расширением *.tmp. Так же во время полной проверки утилита выловила срипт Store.Global[1].js, и в статусе написала, что это «возможно SCRIPT.Virus. Ещё в процессе проверки она выдала информацию о модифицированном файле HOSTS, и предложила восстановить этот файл в исходное состояние, что я и сделал. Кстати после закрытия CureIt, появилось окно с завершением работы зависшей программы ccSvcHst. Проверка компьютера была проведена только из-под одной из учётных записей, но так как они все с правами администратора, я решил, что этого будет достаточно.
Я хотел после этого проверить систему утилитой CureIt в безопасном режиме, но, как выяснилось, при загрузке в нём машина по-прежнему уходит в перезагрузку. Отключив её в свойствах системы, я выловил «синий экран»: 0x0000007B (0xF7B00524, 0xC0000034, 0x00000000, 0x00000000). Программа BlueScreenView дампов памяти не обнаруживает. В обычном же режиме машина грузится нормально под всеми пятью учётными записями.
Я написал запрос о помощи на сайт virusnet.info, после чего ребята написали мне несколько скриптов, которые я выполнил, после чего в моем вопросе появилась пометка, что проблема решена, но нетбук по-прежнему вылетает в BSOD при попытке загрузиться в безопасном режиме, но уже с другой ошибкой: 0x0000007E (0xC0000005, 0xF7816211, 0xF7B3C720, 0xF7B3C41C), а это уже проблема с драйверами или обо рудованием. В «Диспетчере устройств» всё нормально, никаких жёлтых или красных восклицательных знаков нет. BlueScreenView по-прежнему дамп ов памяти не обнаруживает, правда в «Свойствах системы» в поле «Запись отладочной информации» окна «Загрузки и восстановления системы» выставлено значение «Малый дамп памяти (64 кБ)». Нужно ли его поменять? В обычном же режиме машина по-прежнему грузится нормально под всеми пятью учётными записями.
И вот ещё что. В «Настройке системы» есть несколько неизвестных мне файлов. Первой идёт пустая строка, где указано только расположение команды в системном реестре: HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run. Далее идут команды PLFSetL (расположение C:\Windows\PLFSetL.exe), snuvcdsm (расположение C:\Windows\snuvcdsm.exe) и csnp2uvc (rundll.exe C:\Windows\system32\csnp2uvc.dll ResetCIDS). Расположение всех четырёх команд в системном реестре одинаковое. Если хотите, могу заархивировать эти файлы, и выслать их для анализа, только подскажите, как это сделать наиболее безопасно.
Можно ли как-нибудь вернуть полную работоспособность машины?
Нетбук Acer eMachines eM250, н омер модели KAV60. Операционная система Windows XP Home Edition SP3. Обновление операционной системы работает в автоматическом режиме. На нетбуке стоял просроченный Norton Internet Security 2009, версия 16.8.0.41 (пробная 60-дневная версия, на которую не продлена подписка, как я понял). После того, как я сказал об этом хозяину нетбука, он купил коробку Kaspersky AntiVirus 2011, который я и поставил на нетбук с флэшки из образа, который был создан в программе Alcohol 52% Free Edition, предварительно, конечно же, удалив Norton Internet Security.
У меня сохранились логи программ RSIT, OTM, AVZ, так что если нужно, могу прислать. Ещё, как я понимаю, нужен лог Autoruns, напомните только, как его сделать.
Если нужна ещё какая-нибудь информация, пишите.

Отправлен: 05.09.2010, 18:58
Вопрос задал: Гречко Альберт Алексеевич, 4-й класс
Всего ответов: 2
Страница вопроса »

Отвечает F®ost, Модератор :
Здравствуйте, Гречко Альберт Алексеевич.
Ситуация следующая. Операционная система с установленными драйверами нетбука после вирусной атаки работает нормально, а вот безопасный режим на стандартных драйверах Windows после вирусной атаки уходит в "синий экран смерти". Это вызвано, возможно, тем, что используя скрипты антивирусной программы AVZ были запорчены стандартные драйвера операционной системы. Вариантов восстановления несколько:
1. Если на нетбуке был включен режим защиты системы можно запустить восстановление системы (Пуск -> Программы -> Стандартные -> Служебные -> Восстановление системы). В открывшемся окне выберите задачу "Восстановление более раннего состояния компьютера" и откатите систему на месяц назад.
2. Иногда помогает сканирование и исправление ошибок на жестком диске. Можно использовать разные программы, например hdd regenerator и ему подобные.
3. Если все это не поможет - остается только радикальные способ с и спользованием внешнего CD/DVD привода. Подключаете привод, вставляете в него загрузочный установочный диск и запускаете установку операционной системы. После того, как система загрузит драйвера, предложит воспользоваться консолью восстановления и найдет установленную копию операционной системы - нажмите на клавиатуре букву R (восстановление) и дождитесь окончания установки ОС. Не бойтесь, это не перестановка ОС, а именно восстановление системных файлов, драйверов и реестра – то, что Вам надо.
Удачи!
-----
От вопроса к ответу, от проблемы к решению

Ответ отправил: F®ost, Модератор
Ответ отправлен: 08.09.2010, 11:33
Номер ответа: 262999
Беларусь, Минск
Тел.: 375292792018
Организация: Минский Промтранспроект
Адрес: ул. В.Хоружей, 13, г. Минск, Беларусь
Адрес сайта: Минский Промтранспроект

Вам помог ответ? Пожалуйста, поблагодарите эксперта за это!
Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 262999 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:

    • Отвечает ValeryN, Мастер-Эксперт :
    Здравствуйте, Гречко Альберт Алексеевич.
    Учитывая Вашу реплику
    © Цитата:
    Я хотел запустить утилиту CureIt в безопасном режиме Windows, но когда я в «Меню дополнительных вариантов загрузки Windows», (в которое я зашёл, нажав F8), выбрал «Безопасный режим», на экране пробежал список загружаемых файлов, в левом верхнем углу экрана появился мигающий курсор, и всё, «синий экран». Как я уже упоминал, сначала это был стоп 0x0000007B (0xF7B00524, 0xC0000034, 0x00000000, 0x00000000), после чего ребята с сайта virusnet.info написали скрипт для AVZ, а уже после его выполнения стала появляться ошибка 0х0000007Е без описания ошибки и без упоминания сбойного файла (ошибка 0х0000007В тоже , кстати, была без описания). Утилитой CureIt мне удалось проверить нетбук только в обычном режиме работы Windows, в котором сама CureIt, конечно же, запустилась в своём «Безопасном режиме».
    А так, да, система вываливается в BSOD только при попытке загрузиться в безопасном режиме Windows. А в обычном режиме всё прекрасно грузится и работает, как я уже и написал выше.


    Предположу, что проблема загрузки в безопасный режим, вызывается некорректными драйверами некоторых устройств. Для получения информации включите в нормальном режиме работы получение файла дампа памяти. Мой компьютер — свойства — дополнительно — загрузка и восстановление — Параметры. Выбрать режим формирования файла дампа памяти. При появлении "Синего Экрана" в папке Windows возникнет папка Minidump, а в ней необходимые нам файлы. Далее имеется подробная инструкция "Анализ причин возникно вения BSOD при помощи Debugging Tools for Windows"

    Далее, попробуйте всё таки достать из нетбука винчестер, это проще, чем Вы думаете, главное действовать аккуратно с защёлками. Конечно, для полной страховки можно найти в Интернете фото(видео) процесса разборки. Но Вам, думаю, это не понадобиться, достаточно снять заднюю крышку и там Вы увидите, где hdd. Конечно, если у Вас мал опыт разборки именно таких нетбуков, то можно использовать возможности компьютерного сервиса, думаю вытащить винчестер они сумеют быстро и качественно и недорого.
    Кстати, по поводу интерфейсов винчестера, думаю интерфейсы sata HDD 2,5" и sata HDD 3,5" абсолютно одинаковы и подключите его(винчестер нетбука) к стационару без проблем.
    Как мы знаем, при подключинии винчестера к стационарному компьютеру, если есть ошибки a файловой системе, то операционная система стационарного компьютера проведёт проверку и испра вление этих ошибок. Затем попутно тщательно и неоднократно проверить на вирусы. Притом Вы можете сделать это прекрасной утилитой от Касперского - Kaspersky Virus Removal Tool 2010 - это программа для лечения зараженного компьютера от вирусов и всех других типов вредоносных программ..

    Кроме того, удалите все "помойки", то есть все cookies, в браузерах очистить кеш(папку для временных файлов Интернета) , можете установить очень маленький размер папки для временных файлов ~ 40-50 Мb, очистите все папки temp, tmp. (если не знаете, где эти папки расположены, то воспользуйтесь поиском ("Пуск-Найти")

    После возврата винчестера на место, посмотреть все места автозапуска "плохих" программ.
    Для ориентира предложу ссылку -
    "Автозагрузка в Windows XP" . Где, о ткуда может получить возможность стартовать программа. Особенно обратите внимание на программу Startup Extractor, которая даёт нагл ядно контролировать и управлять автозагрузкой, принимать , так называемые превентивные меры.

    Аналогичная программа и с большими возможностями:
    © Цитата: Starter
    - Служит для управления запуском программ при старте Windows - позволяет комфортно редактировать содержание папки Автозагрузка, файл win.ini и соответствующие ключи реестра, а также процессами при работе. Интерфейс симпатичный, инсталляция не нужна. Помимо всего прочего, умеет показывать запущенные процессы. Язык интерфейса – есть Russian и т.д. Автор: CodeStuff, Free, 720.23 КБ, OS – Win98/Win2K/WinXP


    -----
    Ваши вопросы ВСЕГДА читаю, но не всегда находится время ответить!

    Ответ отправил: ValeryN, Мастер-Эксперт
    Ответ отправлен: 10.09.2010, 07:24
    Номер ответа: 263020
    Россия, Уфа
    Организация: ООО "Элегра"
    Адрес: Россия, г. Уфа, Ростовская, 20
    Адрес сайта: ООО"Элегра"
    ICQ # 302165455

    Вам помог ответ? Пожалуйста, поблагодарите эксперта за это!
    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 263020 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:

    • Оценить выпуск »
    Нам очень важно Ваше мнение об этом выпуске рассылки!

    Задать вопрос экспертам этой рассылки »

    Скажите "спасибо" эксперту, который помог Вам!

    Отправьте СМС-сообщение с тестом #thank НОМЕР_ОТВЕТА
    на короткий номер 1151 (Россия)
    Номер ответа и конкретный текст СМС указан внизу каждого ответа.

    Полный список номеров »

    * Стоимость одного СМС-сообщения от 7.15 руб. и зависит от оператора сотовой связи. (полный список тарифов)
    ** При ошибочном вводе номера ответа или текста #thank услуга считается оказанной, денежные средства не возвращаются.
    *** Сумма выплаты эксперту-автору ответа расчитывается из суммы перечислений на портал от биллинговой компании.

    © 2001-2010, Портал RFpro.ru, Россия
    Авторское право: ООО "Мастер-Эксперт Про"
    Автор: Калашников О.А. | Программирование: Гладенюк А.Г.
    Хостинг: Компания "Московский хостер"
    Версия системы: 2010.6.19 от 06.09.2010
    В избранное