РЕШЕНО: Не работает восстановление системы
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
РЕШЕНО: Не работает восстановление системы - 2010-03-05 17:33:57.413333
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
Пытаюсь запустить восстановление системы. Оно запускаться не хочет никак - начинает появляться обычное окно, типа создать точку восстановления или восстановить систему, и сразу же это окошко закрывается. Запускала и через Пуск-программы-стандартные-служебные-восстановление системы, и сам файл "c:\windows\system32\restore\rstrui.exe" - результат одинаков.
Дальше ещё интереснее. Хочу посмотреть, включена ли служба восстановления системы. Пуск-программы-администрирование-управление компьютером, только открываю Службы и приложения-службы, как случается та же история - окно закрывается и всё.
Хорошо, блин. Пуск-выполнить-msconfig-вкладка службы. Служба восстановления системы работает. Но на вкладке общие кликаю Запустить восстановление системы - и с тем же результатом, что и раньше.
Есть небольшое подозрение, что в системе вирь, но в автозагрузке ничего подозрительного нет… А подозрение пошло вот откуда: на днях один хороший друг (друг, а не "друг")) скинул мне кряк для одной хорошей программы. Каспер на кряк стал ругаться, мол, троян. Я его отрубила и прогу ту поставила. Причём известно, что именно этим кряком пользовалось ещё много людей, у них всё норм, я специально спрашивала.
Теперь даже не знаю, что и делать.[:(] Помогииииииите кто-нить, плиииииииз…………………
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-05 17:49:23.103333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ну на вирь похоже больше чем на общий баг)) И не факт что виноват именно этот кряк. Если сможешь глянб названия виря или выложи кряк этот самый, что дали.
Автозагрузку глянь autoruns, а также сделай отчет с помощью avz. Обнови каспера и проверь комп.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-05 18:16:13.810000
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
Спасибо, что откликнулись))
Троян: Trojan-Dropper.Win32.Delf.eom,
по поводу автозагрузки: смотрела Пуск-выполнить-msconfig-вкладка автозагрузка, а ещё на всякий случай просмотрела реестр - все ключи Run, RunOnce и RunOnceEx - и в HKLM, и в HKCU, и в HKEY_USERS - всё как всегда, ничего нового нет, ничего подозрительного тоже, и пути к файлам те же.
Что касается отчёта avz - я не знаю, что это такое…[:(] позор мне, ламеру…[:(][:(][:(]
______________________
Нашла avz, хвала гуглу))
Сейчас буду проверять, потом отпишусь)
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-05 18:41:13.033333
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
А есть ли какаие-либо ошибки Службы восстановления системы в журнале событий ?
Пуск -> Выполнить -> rundll32.exe advpack.dll,LaunchINFSection %windir%\inf\sr.inf
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-05 19:53:22.163333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Alianna, кроме перечисленных тобой веток реестра, автозагрузка идёт ещё с большого количества мест. Я могу назвать только в реестре с десяток. И это еще далеко не предел, так что твой просмотри только этих ветоки и msconfig не даёт никакой информации о наличии или отсутсвии вируса. Кроме того, подобная гадость сейчас прекрасно маскируется под безобидные или системные файлы.
Судя по всему, у тебя троян. Дело обычное и для многих привычное. Стоит прогнать систему, как миниум AVZ ( http://z-oleg.com/secur/ ) и Malwarebytes' Anti-Malware ( http://www.malwarebytes.org/ ). Проверки данными прогами необходимо производить, для для получения эффективного результата, в безопасном режиме. Это же касается и антивиря.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-05 22:22:04.350000
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
quote:
ORIGINAL: XALK
А есть ли какаие-либо ошибки Службы восстановления системы в журнале событий ?
Пуск -> Выполнить -> rundll32.exe advpack.dll,LaunchINFSection %windir%\inf\sr.inf
Пытаюсь это сделать. Требует вставить диск с виндой. вставляю, он копирует какие-то файлы… и всё. Похоже, руки у меня действительно кривые…[:(]
zzsnn, спасибо за инфу. Не знала, что автозагрузка ещё откуда-то идти может… С каждой минутой убеждаюсь, какая же я дура…[:(]
Ну а счас я поставлю его на полную проверку каспером в безопасном режиме (радует, что хоть это умею делать!), а уже утром буду думать, чё дальше делать… мож ещё кто-нить что-нить посоветует к тому времени…
PS: да, кстати, avz написала красным цветом, что "функция … перехвачена, перехватчик - "C:\WINDOWS\system32\drivers\klif.sys"", причём она это повторила много раз, типа целая куча функций перехвачена. В свойствх этого klif.sys написано, что это кусок каспера (ну или замаскированный вирь, тоже может быть:D). И ещё 2 модификации машинного кода, 1 - метод не опознан, 2 - метод JmpTo, и опять тот же klif.sys.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-05 22:38:39.356666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Драйвер Klif.sys, предназначенный для защиты продукта от несанкционированного доступа и отключения продуктов Касперского. Фактически это драйвер "проактивной защиты" Касперского. Естественно, он внедрён глубоко в систему и перехватывает системные функции, чтобы контролировать процесс их выполнения. Так что лечить его не надо.
А автозагрузку можно, при наличии опыта, и некоторых знаний прошерстить с помощью специальных утилит. Например AutoRuns http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx . Процессы в системе можно просмотреть с помощью других утилит, напрмер Process Explorer http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx . Последнюю даже руссифицированную могу сбросить.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-06 11:32:09.330000
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
Всю ночь проверяла каспером в безопасном режиме, "угроз не обнаружено"
утилиты autoruns и process explorer скачала, последний выдаёт вот что: http://s005.radikal.ru/i210/1003/2a/5f9cf630efe2.jpg
в автозагрузке очень уж много всего, я запуталась…[:(]
Появилась идея проверить с DrWeb LiveCD, может поможет…
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-06 12:04:13.866666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Rundll32.exe - если оно висит с самого начала, т.е. после загрузки внинды, то это не хорошо. Проверь.
Запусти autoruns и сохрани результаты в формате arn, заархивируй и залей куда нить, глянем.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-06 17:08:12.526666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Попробуем разобраться с той инфой, что ты дала. atwtusb.exe - это приложение относится к графическому планшету. Он есть у тебя? Ты его ставила? Под это приложение может маскироваться троян. Тем более производитель не указан, а значит цифровой подписи точно нет. Подозрительно, одним словом.
opware32.exe является приложением от ScanSoft OmniPage который позволяет сканировать документы в Microsoft Office Suite. Эта программа не является необходимым системным процессом. Ты ставила нечто такое?
Rundll32.exe. Хм… Подозрительный процесс, запущен от имени пользователя. Старнно. Было бы неплохо выяснить файл, который вызывает данный процесс. Нужно в Вид программы добавить стольбцы, что бы был виден столбец с путем. И владелец процесса, заодно был бы виден было бы хорошо.
Самый интересный процесс - raysat_3dsmax2010_32server.exe. Его название более характерно для Линуксовских прог, но это ерунда. Главное не указан производитель, и не дано описане этого процесса. Это вообще первый кадидат на бяку.
Кроме того, неплохо было бы отрубить в автозагрузке Nero, да и Панель управления звуком тоже можно отключить. Я думаю, ты уже давно настроила звуковую схему у себя на компе.
С Autorun разобраться несложно. Брось через почту в личке на меня свою аську, постучу- объясню. Так писать придеться много.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-06 23:00:17.810000
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
Счас всё проверила всем чем можно, вирусы не нашёл…
К планшету я драйвер ставила, он уже года 3 как в автозагрузке висит)
opware32.exe… нечто знакомое вроде было…
А raysat_3dsmax2010_32server.exe не мог появиться оттого, что я буквально на днях поставила 3ds max 2010?
Завтра с утра сохраню результаты autoruns, сегодня уже сил нет…
А что касается аськи, то её у меня до сих пор нет… Завтра мож сделаю, тогда кину тебе, zzsnn.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 09:18:40.836666
|
|
|
xssxss
Сообщений: 8
Оценки: 0
Присоединился: 2010-02-21 07:44:05.623333
|
обычно эту функцию отключить, вирусы там сидят многие
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 10:01:10.206666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
quote:
А raysat_3dsmax2010_32server.exe не мог появиться оттого, что я буквально на днях поставила 3ds max 2010?
Возможно. "Но меня гложут сомнения. У Шпака магнитофон, у посла медальон."
Если бы это был нормальный файл, то производителем пишеться кто его произвёл, и какую функцию он выполняетя. А тут такой информации нет. Кроме того, имя файла так же не характерно для Windows-файлов. Более характерно для вирусов. Когда в названии забивается тип и дата модификации. Тогда создателю легче орентироваться при работе. Это характерно для хороших программистов в Линуксе. Работающих по старой венгорской школе наименоваиня переменных. Молодые програмисты почти не работают по такой системе.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 10:59:10.190000
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
Снесла нафиг 3ds max, там с ним была ещё какая-то хрень то ли для удалённой работы или чтото вроде того, и при установке нельзя было её отключить её установку… В самом начале работы системы этот raysat_3dsmax2010_32server.exe появился, потом пропал. Странно, странно…
скриншот process explorer'а тут, был сделан с выключенным интернетом
autoruns и сохранённые в .txt результаты process explorer'а тут
появилась ещё мысль: та самая прога с кряком, с которой всё началось - Revo Uninstaller Pro, перед удалением программ она должна делать точку восстановления системы. Мож это не вирь, может это она в системе нагадила чего-нить?
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 13:46:37.710000
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
http://rapidshare.com/files/360132400/RevoUninstallerPro2_1_1_0inclpatches_x32_x64.rar.html
тут весь архив целиком, в нём внутри ещё один архив patches, из него использовала revo.uninstaller.pro.2.1.1.0-patch.exe
Каспер на него честно ругался, но многие этот кряк хвалили, мол, работает всё… И я каспера выключила и запустила кряк. Теперь вот жалею…
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 14:29:55.763333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
ORIGINAL: Alianna
http://rapidshare.com/files/360132400/RevoUninstallerPro2_1_1_0inclpatches_x32_x64.rar.html
тут весь архив целиком, в нём внутри ещё один архив patches, из него использовала revo.uninstaller.pro.2.1.1.0-patch.exe
Каспер на него честно ругался, но многие этот кряк хвалили, мол, работает всё… И я каспера выключила и запустила кряк. Теперь вот жалею…
Ну думаю каспер и ещё 30 антивирей не ошибались и второй файл то же не вызывает доверия.
Конечно я позже покапаю их и скажу правда или ложь, хотя по API видно что это не только патч, а отзывы мог оставить злоумышленник или его подельники.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 18:21:52.386666
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
quote:
ORIGINAL: Ltonid
Вот что нашел
HKLM\System\CurrentControlSet\Services
autorun Generic Port I/O Windows (R) 2000 DDK provider c:\huadio.tmp
Вывод, перезагрузитьсся в безопасном режиме и удалить и фал и путь в реестре.
Удалила эту фигню. Особых результатов не видно, всё как было так и есть
А что касается патча - если там вирь, то как мне его теперь убрать?? Его ничего найти не может[:(][:(][:(]
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 19:22:50.850000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
А что касается патча - если там вирь, то как мне его теперь убрать?? Его ничего найти не может
Нет там никаких вирусов, просто из-за реализации поиска и самой технологии патча выглядит как вирус. Вот так 31 антивирус могут ошибаться.
Знаешь какой вопрос. Что у тебя с местом на дисках и с оперативной памятью?
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 20:47:49.686666
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
quote:
ORIGINAL: Ltonid
Что у тебя с местом на дисках и с оперативной памятью?
C - свободно 11Гб из 30.3
D - свободно 49,8Гб из 118, но с него всякой фигни гигов гдето 20 стереть спокойно можно, просто пока что лень этим заниматься))
Оперативки 1Гб
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 20:59:29.303333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
ORIGINAL: Alianna
quote:
ORIGINAL: Ltonid
Что у тебя с местом на дисках и с оперативной памятью?
C - свободно 11Гб из 30.3
D - свободно 49,8Гб из 118, но с него всякой фигни гигов гдето 20 стереть спокойно можно, просто пока что лень этим заниматься))
Оперативки 1Гб
Я имел ввиду сколько занято оперативки и скоко свободно.
Хотя пересмотрел скрин, нормально это дело.
Так же есть идея про возможную блокировку этих приложений с помощью реестра, но это я проверю и попробую получить тот же результат.
А ты можешь поиск сделать пока по реестру по названиею файла rstrui.exe
Если находиться, ты выписавай название ветки где он находиться.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-07 21:25:10.713333
|
|
|
Zevs91207
Сообщений: 1315
Оценки: 0
Присоединился: 2007-12-09 20:35:12.953333
|
Я бы советовал поступить так:
1 прочти:
http://forum.xakep.ru/fb.aspx?m=1581784
2 возьми акроникс: http://forum.xakep.ru/fb.aspx?m=1604338 сделай
3 если что–то не понятно будет,прочти: http://www.ifolder.ru/16479568
эта инструкция уневерсальна,подойдёт фактически для любого образа
Радикально,но недёжно
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 01:33:28.260000
|
|
|
bosjak75
Сообщений: 10
Оценки: 0
Присоединился: 2010-03-08 00:55:43.010000
|
Я восстановление делаю через Касперского. Купил себе лицензионный KIS 2010 и там кроме того что улучшена версия еще можно создавать диск аварийного восстановления. Очень удобно и можно сказать очень нужно. До каспера стояли все…антивирусник, как не крути а каспер самый сильный…
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 12:03:27.190000
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
rstrui.exe в реестре находится аж в 5 ветках:
[HKEY_CLASSES_ROOT\AppID\RstrUI.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\RstrUI.EXE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\MUILanguages\RCV2\rstrui.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Nls\MUILanguages\RCV2\rstrui.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\MUILanguages\RCV2\rstrui.exe]
а что касается акрониса, то где-то у меня кажется даже диск валялся с образом работоспособной системы, вот только где… И там по-моему каспер уже установлен и активирован был, если я диск найду и восстановление сделаю - лицензия не потеряется? А то как то не хочется чтобы деньги зря пропали…
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 12:26:14.526666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Не торопись ты с восстановлением. Есть ещё один способ.
Реестр в порядке.
Ну если zzsnn не придумает что ещё можно поискать, то вот ручное выяснение проблемы.
Качаешь Process Monitor. Собственно запускаешь его, он начинает собирать кучу инфы.
Ты в это время запускаешь всё что там не запускалось. Программа записывает, потом ты её останавливаешь (нажатие на лупу) и сохраняешь лог (формат PML). Архивируешь и выкладываешь. Возможен большой вес, ну и ладно. Если дело в каком либо компоненте системы или реестре, то он покажет. Если нет, то надо будет попробывать заменить сам экзешник восстановления системы на заведомо рабочий, мало ли - мог повредиться.
Этот способ трудоемок, но я других уже не вижу.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 12:39:37.436666
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
И попробуй переустановить СКРИПТ
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 13:14:46.453333
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
Скачала process monitor, запустила. В это время запустила что не запускалось, а именно восстановление системы, администрирование->службы и настройка учётных записей пользователя. Лог находится тут.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 13:28:01.703333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Мдя…. Такой по размерам лог вручную можно долго анализировать. Жаль, что ты не сделала фильтрацию. Попробую хоть что-то понять, но в такой куче просто физически трудно разобраться.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 13:42:23.363333
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
quote:
ORIGINAL: XALK
И попробуй переустановить СКРИПТ
Переустановила. Теперь всё работает!!! :D:D:D
Всем кто мне помогал - СПАСИБО ОГРОМНОЕ!! Даже если что-то не помогало решить проблему - всё равно за участие спасибо!!!
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 14:45:12.713333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Эмм XALK, ради повышения уровня грамотности, как этот скрипт повлиял на случившееся? Почитал в KB но связи не увидел.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 15:13:18.760000
|
|
|
][akер
Сообщений: 3
Оценки: 0
Присоединился: 2010-03-08 15:01:52.146666
|
подрочите, чуваки, и ничего не надо будет! 100% поможет.
|
|
|
|
|
RE: Не работает восстановление системы - 2010-03-08 15:16:04.760000
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
Ltonid, я не программист, потому точно не скажу. Но исходя из "начинает появляться обычное окно, типа создать точку восстановления или восстановить систему, и сразу же это окошко закрывается" предположил, что где-то что-то обрывается…
|
|
|
|
|
|
