Я заменил всё !!!никаких изменений.Остается либо ФС кривая либо BootSector/MBRБут и мбр снятые лайвом в аттаче.Что сделать с ФС я не знаю, CHkDSK c: /f/r я уже делал, может есть утилиты для более детального анализа и ремонта НТФС.Пока писал возникла идея - пофиксить бут тестдиском и конвертнуть нтфс в фат32.Мбр можно тоже восстановить.
Мда уж, тяжелый случай, заменил полностью Windows, ntldr, ndetect.com то же самое...Осталось Common Files и последнее MBR и BootSector.Где же он спрятался ???
Удалил sectest.db, теперь грузится так:
Кстати, вот что обнаружил подозрительное, в корне WINDOWS файл sectest.db размером 60 мег, что бы это значило ???
Опа...Замена SYSTEM32 ни к чему не привела !!!, это уже интереснееОстается Program Files (особо - Common Files) и Windows от корня + подкаталоги за исключением system32
Так, замена Documents and Settings ничего не дала.Копирую system32
Я всё-таки думаю какая-то гадость там сидит, потому что идет обращение к винту в течении длительного времени, причем лампочка горит не на всю, а тускловато как-то.А после этого уже повреждения.Будем действовать так.Сначал заменяю Documents and Settings с рабочего клона.Затем system32 итд пок не выясню где сбойный элемент.
QUOTE(YURETS @ 5.05.2009 12:19) Нет, проблем с HDD нет, когда восстанавливаю клон всё работает нормально, chkdsk c: /f/r проходит без ошибокНе показатель. Может имеет место быть небольшое механическое повреждение?P.S. А установку в режиме восстановления пробовали делать?P.P.S. Пару месяцев назад была проблема с файловой системой (как потом выяснилось). При этом chkdisk периодически находил ошибки, вроде бы лечил, но ... через некоторое время всё повторялось. Помогло исправление ошибок через, по-моему, gparted.
Восстановил реестр с рабочего клона, то же самое.Меня терзают смутные сомнения, а что если это профиль заражен,попробую восстановить с клона весь Doc&Set, сохранив зараженный (сбойный).
Нет, проблем с HDD нет, когда восстанавливаю клон всё работает нормально, chkdsk c: /f/r проходит без ошибок
У меня была проблема с веткой system. Думал без переустановки системы не обойтись. Однако загрузка с ERD Commander ситуацию исправила.
Может дело в HDD? Если есть возможность - перенесите данные на другой винчестер.Затем проверить проблемный винт (testdisk, gparted и т.п.).Можно и форматнуть для порядка.
Блин, опять вывалилась ошибка неисправного SECURITYОпять загружаюсь с Alkid Live чекаю диск, проверяю кусты реестра.
Ошибки каждый раз разные.Железо нормальное.Система нормально работает, если с клона восстановить рабочую копию полностью с восстановлением мбр.Но хочется разобраться, вирус это или нет, уже 3-ий раз одинаковая картина, спрашивал - что до этого ставил - говорит игрушку какую-то и директикс тоже запускал новый, но это было за 3 дня до краша, та работало нормально, единственное с инет тянуло хотфиксы.Сейчас загрузился в безоп. режиме, накинул мартовский09 директ и проверенные хотфиксы.перед перезагрузкой сделал chkdsk c: /f и на всякий сдела dial-a-fix полный.Посмотрим что будет на этот раз.
Ветки реестра все целы, пробовал с лайва грузиться и подгружать load hive unload hiveТе же ошибки и после восстановления сбэкапленного рабочего реестра.А вот chkdsk с лайва вывалил кучу ошибок.Но все пофиксил, теперь в безопасном режиме ошибок (Chkdsk c: ) нетSigVerif показал что все драйвера подписаны.Пот хочу еще прочекать системные файлы (sfc /scannow) только как это сделать в безопасном режиме ?
Система, судя по всему, не грузится в обычном режиме?Повреждена одна из веток реестра, если смотреть на первый скрин.Попробуйте загрузиться с какого-нибудь LiveCD, котором есть возможность править ошибки реестра (например, ERD Commander)
Странно, ничего подозрительного...
А зачем chkdsk запускать в безопасном режиме?Скачайте После запуска в папке с программой найдете mbr.log Его и выложитеПосмотрим, есть ли проблемы с MBR
Ситуация такая.В безопасном режиме загружается нормально, но chkdsk c: выдает такое:C:\Documents and Settings\user0>chkdsk c:Тип файловой системы: NTFS.Метка тома: SYSTEM.ВНИМАНИЕ! Параметр F не указан.CHKDSK выполняется в режиме только чтения.Проверка файлов (этап 1 из 3)...Удаление поврежденной записи атрибута (128, "")из сегмента 2038 записи о файле.Проверка файлов завершена.Обнаружены ошибки. Продолжение работы в режиме только чтения невозможно.C:\Documents and Settings\user0>Если запустить chkdsk c: /f то после перезагрузки чек проходит нормально, без ошибок.Но во время обычной загрузки система практически висит минут 10, в это время идет слабое обращение к винту.После 10 минут черного экрана система падает в синий экран с ошибкой "невозможно загрузить куст SECURITY"В эвентах ничего не отображается, в авторансе подозрительных объектов нет, восстановление реестра ничего не дает, sfc /scannow не запускается в безопасном режиме, пишет требуется служба RPC.Чудеса какие-то, такого я еще не видел.Каспер и веб с последними базами ничего не обнаружили.В аттаче логи и мбр с бут-сектором.
Kaspersky Lab Forum > Странный вирус
Комментариев нет:
Отправить комментарий