Компютарът ми се рестартира

[Night_Raven]

Ясно че вирусат е гаден

Кажете ми има ли начин да го махна с нормална антивирусна или с някаква програма

Без save mode защото съм пробвал да наистина се махна за месец и половина но сега се появи пак

Sasser е стар червей. Описаният от мен метод по принцип трябва да е достатъчен. Отделно, общо взето всяка съвременна антивирусна програма трябва да може да се справи с него успешно.

Щом се е появил, значи си със SP1. Ще е добре на следващата преинсталация да инсталираш поне SP2.

 

А лично според мен като "потребител на сассера" ако може да се каже така вирусът е наистина много гаден и досаден 10 то място дори бих казал че му е много

Ако искаш да кажеш, че трябва да е по-напред в класацията и че е по-"гаден" от другите, значи не си наясно какви са останалите 9. Сравнен с някои от тях Sasser си е направо безобиден. Попитай някои по-стари потребители, които са патили от CIH вируса (например), дали предпочитат отново да пострадат от него или да се заразят със Sasser.

[Maniac]

С ComboFix не се ли получава? С MalwareBytes?

[comando1302]

Казах ти сьс какво да сканираш.

[stanilabg]

Здравейте.

От вчера и аз имам подобен проблем с рестартирането на компютъра. Или се рестартира или замръзва, и не може да се направи нищо друго, освен рестарт на "твърдо". Рестартира се още преди да е заредил всичко, което зарежда обикновено. Но не винаги е така. Понякога, след като стартирам StrongDC. Правят нещо с мрежата и затова си мислех най напред, че ще е от това.

Имам Avast антивирус. Сканирал съм под DOS, нищо. Сканирал съм и с Malwarebytes Anty-Malware. Пак нищо.

Давам няколко лог файла и една снимка. Синият екран се появи само веднъж.

Системата ми е XP SP2.

 

П.П. Преди малко изключих компа от контакта и изчаках 10 мин. Понякога помага. За сега върви.

AutoRuns.txt

hijackthis.txt

[Aquarius]

Това, което описваш е по-вероятно да е причинено от хардуерен проблем. Добра идея е да тестваш RAM-та и твърдия диск - за RAM-та може да ползваш MemTest86+, а за твърдия диск софтуерът, който идва от производителя (като стартираш дългият / обширен тест, а не бързият). Също така да се увериш, че температурите на компонентите и захранващите напрежения са нормални. Това може да стане с помощта на софтуер като SpeedFan, Everest и други.

 

Прегледах Log-файловете от HijackThis и Autoruns - системата е чиста т.е. няма съмнителни неща. Все пак може да опиташ как се държи в режим Safe Mode.

 

Доста по-полезно би било, ако предоставиш файла с извадка от паметта, който се генерира, когато системата покаже BSOD. От информацията, която той съдържа е възможно да се разбере дали става въпрос за проблемен драйвер или хардуерен срив. За целта направи следното:

 

1) Oтвори System Properties --> Advanced --> Startup And Recovery --> Settings.

2) Oт комбинираното поле в рамката Write Debugging Information избери опцията Kernel Memory Dump.

3) Кликни OK и затвори аплета System.

 

Причната за промяната на тези настройкие е, че при Windows XP стандартно се създава извадка на сегмента от физическата памет, в който е възникнала грешката (Small Memory Dump). Това е минималното количество информация и често не е достатъчно за добър анализ. Kernel Memory Dump (опцията, която избрахме) предлага най-доброто съотношение големина на файла с извадка / полезна инфромация.

Имай предвид обаче, че за да се генерира файл с извадка от паметта на устройство C:\ трябва да има достатъчно свободно място и файл за странициране на виртуалната памет с подходящ размер.

След време, ако системата пак покаже BSOD - отиди в папката C:\Windows. Там ще имаш един файл Memory.dmp, който трябва да го споделиш с нас. Това може да стане като например го качиш на www.4Storing.com или на друг хостинг и ни дадеш линк за сваляне.

[stanilabg]

Направих тест с MemTest86+. Всичко изглежда наред. Давам снимка.

Опитах се да направя лог файл на Еверест, но ми замръзва, затова снимах, какво показват сензорите.

За съжаление нямам никакъв софт от производителя на твърдия диск. Ако може да се свали от някъде - модел Seagate ST3250620A (250 GB, 7200 RPM, Ultra-ATA/100).

Направил съм и промените в настройките на Write Debugging Information и ще чакам синият екран.

[nokep]

Аз имам същия проблем.Сканирах с какво ли не.Диска ми е ОК, поне според програмата с която го гледах и все пак продължава да ми се отваря прозореца с рестарта.Наложи ми се да прибегна до командата shutdown -a за да спре да се рестартира непрекъснато.Моля за идеи.

[Aquarius]

@ stanilabg - oт снимката на MemTest изглежда, че нямаш проблеми с паметта, но все пак не е 100% сигурно. За тест на твърдия диск може да използваш инструмента SeaTools от Seagate.

Относно температурите и захранващите напрежения - температурите на твърдия диск и процесора са малко по-високи от нормалните, ако това е в idle състояние т.е. машината не е натоварена. Ако е в idle би било добре да я натовариш с помощта на софтуер като Prime95 и отново да провериш температурите. Също така да наблюдаващ и дали ще увисне или покаже BSOD. От скрийншота на Everest също така се вижда, че +3.3V линията е малко слаба, особено ако снимката е правена в idle състояние. Въпрос: Какъв е захранващият блок на компютъра (марка / модел)?

Друго, което може да направиш е да отвориш Event Viewer (Start --> Run --> "eventvwr") и да погледнеш за грешки в секцията System.

 

@ nokep - изпълни ли тези инструкции + сканиране на системата с Malwarebytes Anti-Malware ?

[nokep]

Сканирах с Malwarebytes, но сега ще изпълня и другите инструкции.Ето лог-а от програмата :

 

Malwarebytes' Anti-Malware 1.28

Database version: 1217

Windows 5.1.2600 Service Pack 3

 

28.9.2008 12:06:26

mbam-log-2008-09-28 (12-06-26).txt

 

Scan type: Full Scan (C:\|D:\|)

Objects scanned: 198923

Time elapsed: 58 minute(s), 17 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 4

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 2

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

C:\Program Files\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

C:\Program Files\WinRAR\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

 

 

Сканирах с fix-a.Няма Sasser.

[Aquarius]

Как се държи системата след почистването с MBAM? Ако проблемите продължават може да опиташ и инструмента Microsoft Windows Malicious Software Removal Tool. Също така може да сканираш и с инструмента на ESET, който съм прикачил към коментара си.

[nokep]

За да разбера трябва да върна нещата в предишното им състояние.Предполагам, че обратното на командата shutdown -a е shutdown +a ?

[Aquarius]

За да разбера трябва да върна нещата в предишното им състояние.

 

Въпросът е дали пак ти се появява автоматично прозорецът за рестарт, например след като се стартира Windows, защото това на практика е проблемът, който се получава при тези заплахи.

 

Предполагам, че обратното на командата shutdown -a е shutdown +a ?

 

Не, командата е Shutdown -i.

[nokep]

Нещо не стана с тази команда.Отвори се прозорец и не мога да натисна бутона ОК.

[Aquarius]

Нещо не стана с тази команда.Отвори се прозорец и не мога да натисна бутона ОК.

 

1) Човек, за втори път ти казвам - въпросът не е дали ти ще можеш да извикаш Shutdown прозореца, а дали зловреден код го прави автоматично с цел постоянен рестарт на компютър, това което прави Sasser и което е причината за съществуването на тази тема, макар, че в последните коментари се отклонихме малко. Ако нямаш автоматичен рестарт (т.е. поява на Shutdown прозореца без твое желание) то проблемът ти може да се счита за решен.

 

2) При въвеждането на Shutdown -i се появява диалоговият прозорец Remote Shutdown. В него трябва да се въведат някои данни, като например името на локалния или отдалечения компютър, които да се рестартира, коментар (причина) за рестарт и др. Чак тогава бутонът OK ще бъде активен. Но пак казвам - няма смисъл сам да инициираш изключване след определен период.

[nokep]

В момента не се рестартира компютъра, но предполагам, че това е защото бях run-ал командата shutdown -a , за това и искам да се върна в състоянието преди тази команда, когато изкачаше същия прозорец като създателя на темата.Тъй като това ми пречеше написах командата и от тогава не се е показвал и компютъра не се е рестартирал, но това мисля не значи, че проблема е решен.Надявам се сега да ме разбираш.Между другото мерси за усилията!