Показано с 1 по 9 из 9.

Смертельный случай - звук, сеть и всё остальное. (заявка № 79170)

  1. #1
    Junior Member Репутация
    Регистрация
    23.05.2010
    Сообщений
    6
    Вес репутации
    51

    Question Смертельный случай - звук, сеть и всё остальное.

    Уважаемые Гуру!
    К сожалению, я успел наломать кучу дров, пока нашёл ваш ресурс.

    Сразу хочу извиниться за то, что архив "virusinfo_syscure.zip" содержит "avz_log.txt" вместо "avz_sysinfo.htm". Я объясню, почему, но сначала постараюсь по порядку описать всё поподробнее, чтобы вам было понятней.

    Моя война с вирусом похожа на игру в шахматы, в которой он всё время на шаг впереди. Уже достаточно длительное время компьютер периодически лагал - либо самопроизвольно перезагружался, либо во время сеанса отказывалось работать какое-то ПО (в разных сеансах разное).

    Также часто появлялись ошибки типа "Ошибка svchost.exe. Инструкция по адресу ... обратилась к памяти по адресу ... память не может быть written". В начале я нажимал "ОК" и система умирала, а потом при нажатии кнопки "Отмена" стал появляться фортрановский дебаггер. Он говорил либо "Cannot execute program", либо "Access violation". Но после остановки дебаггера и закрытия фортрана можно было продолжать работу.

    Кстати, точно с таким же сообщением периодически стал умирать антивирус (Авира). После перезагрузки Авира возобновляла свою работу, но тоже не всегда.

    Потом при загрузке стало с какой-то частотой появляться сообщение "Generic Host Processes for Win32 Services - обнаружена ошибка. Приложение будет закрыто." После закрытия этого окна немедленно стал отваливаться либо звук, либо интернет (звук чаще).

    Какое-то время я терпел и последовательными перезагрузками добивался работоспособности системы (с вероятностью 20% сообщение об ошибке не выскакивало). После удачного запуска мне удавалось держать компьютер в рабочем состоянии без перезагрузки неделю-две, но в конце концов либо происходила самопроизвольная перезагрузка, либо в какой-то момент умирал ТaskManager и всё повисало.

    Неделю назад у меня впервые за несколько месяцев появилось немного свободного от работы времени, и когда снова при загрузке появилось сообщение об ошибке и отвалился звук, я пошёл в интернет искать решения.

    Вначале где-то посоветовали скачать какие-то специфические обновления на Винду. Я их скачал, но устанавливаться они не захотели - стала выбивать ошибка "Диспетчеру установки не удалось проверить целостность файла update.inf. Убедитесь, что службы криптографии запущены на данном компьютере." Службы были запущены, но обновления упрямо не устанавливались.

    Тогда я пошёл искать дальше. Где-то посоветовали поставить Agnitum Outpost Firewall. Я скачал Free-версию и попытался поставить. Но после перезагрузки Outpost не нашёл какой-то файл и отказался запускаться, а сеть с Интернетом умерли окончательно.

    Потом я вспомнил, что на одном из форумов видел, что вирус, вызывающий ошибку "Generic Host Processes", может быть удалён при помощи Panda Antivirus. Я скачал его с компа знакомого и запустил у себя. Панда нашла 34 инфицированных файла (после проверок Авирой и DrWebCureIt, которые нашли 3 и 8 инфицированных файлов, соответственно). Повторный запуск Панды обнаружил 10 инфиц. файлов - значит, окончательно от вируса она меня не избавила.

    Дальше я копался в дровах в реестре. В диспетчере устройств появился ещё один драйвер, как у моей сетевухи, только с припиской "Agnitum miniport", и ещё один - "минипорт планировщика пакетов". Я решил попробовать вернуть сеть хоть как-то и после деинсталляции Аутпоста поудалял из реестра все ключи и папки, в названии или в значении которых присутствовали "Agnitum" или "Outpost".

    Потом я нашёл диск с родными дровами от своей сетевухи и попробовал поставить - без толку. Вроде бы, драйвер устанавливается, потом определяется устройство, Мастер установки оборудования делает свою работу, но в конце выдаёт "Произошла ошибка при попытке установить устройство. Указанный файл не найден".

    Тогда я физически вытащил сетевуху из компа и поудалял из реестра все ключи и папки, в названии или в значении которых присутствовало "D-Link" (сетевуха у меня D-Link DFE-532TX PCI Fast Ethernet Adapter). Разумеется, в надежде, что после установки родного драйвера и всовывания платы обратно в комп устройство правильно определится и будет работать.

    Но и здесь неудача. Ошибка осталась та же - драйвер устанавливается, устройство определяется, а Мастер выдаёт ошибку.

    Поэтому сети у меня сейчас нет, и все обновления происходят крайне затруднительно. Я сделал всё согласно Правилам, не считая пункта подключения к Интернету.

    Теперь - почему архив "virusinfo_syscure.zip" содержит "avz_log.txt" вместо "avz_sysinfo.htm". Я трижды запускал AVZ в режиме 3 ("Скрипт лечения/карантина и сбора информации"), но ни разу он не дошёл до конца. В первый раз он завис на проверке какого-то файла Панда-Антивируса, потом я деинсталлировал Панду, но это не помогло. Оба последующих запуска AVZ зависло при проверке "C:\WINDOWS\PCHealth\HelpCtr\Config". Лог-файл при зависании добыть не удавалось, поэтому я его записал, как только в логе появилось всё то, что я там видел при зависании.

    Итак, уважаемые Гуру! Я сейчас уже неделю без сети, и мне очень грустно каждый день выходить в интернет от знакомых. Поэтому если бы мне поднять сеть - уже было бы счастье! Тогда дальше я бы смог высылать вам те же логи со своего компа, что было бы намного проще.

    И ещё один момент. Как я видел из лога, на моём компе "vax347b.sys" хуками разбрасывается. Я поискал его в реестре - написано, что это "Boot Bus Extender". Интересно, что в одном из ControlSet'ов сказано, что у этого "vax347b.sys" Device0 = "vax347s.sys". А в описании последнего сказано, что это "SCSI miniport". Что бы это значило?..

    Уважаемые Гуру! Не слишком ли много я дров наломал?..
    Очень на вас надеюсь!

    С уважением,
    Евгений.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    сделайте такой лог http://www.gmer.net/ и начинайте качать сп3 +все обновления

  4. #3
    Junior Member Репутация
    Регистрация
    23.05.2010
    Сообщений
    6
    Вес репутации
    51
    Хорошо, сейчас попробую... А сеть от этих обновлений поднимется?

    И я забыл сказать, что вкладка "Пуск -> Программы" у меня сейчас вообще не открывается, а драйвер на сетевуху в "Установка и удаление программ" появляется, но не распознаётся - там ни размера, ни описания, ничего! Зато звук сейчас работает) Хм, "зато"...

    Добавлено через 28 минут

    Только что долго наблюдал "синее окошечко смерти" и не мог загрузиться, сейчас запускаю gmer у себя на компе...

    Кстати, интересный факт: при загрузке Safe Mode на экране появляется строчка "Press ESC to cancel loading vax347b.sys". К чему бы это?..

    А вот ещё вопрос: в логе AVZ у меня было обнаружено 2 SPI/LSP эррора. Что мне с ними стоит сделать?

    Добавлено через 8 минут

    Хм... gmer.exe не запускается, даже переименованный - система пишет "Просим извинения за ошибку"

    Ещё один момент - перестали отображаться скрытые файлы и папки, и как бы свойства отображения я ни менял, они всё равно возвращаются в состояние "Не отображать скрытые файлы и папки".

    Да, и в корне на диске С: появилась папка "windows]system32", в ней пустая папка "usmt", и ни одну из них нельзя удалить без Safe Mode'а. А при перезагрузке эта штуковина снова появляется...

    Добавлено через 40 минут

    В Безопасном режиме то же самое: при дебаггинге фортраном рисуется сообщение
    "Unhandeled exception in gmer1.exe: 0xC0000005: Access Violation"

    Добавлено через 18 минут

    Это труба: только что у меня было 2 загрузки подряд, что не запускался ни Explorer, ни Total Commander. Я ничегошеньки не могу сделать!..

    Может, есть какие-то идеи?

    Добавлено через 32 минуты

    Удалось запустить catchme.exe и mbr.exe, скачанные с сайта gmer.net. Ни один из них ничего не нашёл, а сам gmer.exe не запускается никоим образом.

    Зато я нашёл в папке C:\WINDOWS появившиеся из ниоткуда папки system3r, system3s и sуstem33. Первая из них пустая, вторая содержит пустую папку "wbem", а третья - пустую папку "usmt". Все папки успешно удалились в обычном режиме работы Windows.

    Вопрос: есть ли что-то, чтобы зафиксировать, какой процесс рождает эти папки и где расположен его исполнительный файл?
    Последний раз редактировалось Juk301; 24.05.2010 в 01:58. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Juk301 Посмотреть сообщение
    Поэтому сети у меня сейчас нет, и все обновления происходят крайне затруднительно.
    Найдите диск Windows XP с SP3 и переустановите, так как написано тут:
    http://support.microsoft.com/kb/315341/ru
    см. Способ 2. Восстановление Windows XP при загрузке компьютера с компакт-диска Windows XP

  6. #5
    Junior Member Репутация
    Регистрация
    23.05.2010
    Сообщений
    6
    Вес репутации
    51
    Итак, я долго долбался и не мог запустить gmer.exe (в переименованном виде). В какой-то момент я снова запустил AVZ, поигрался там с настройками, и оно обнаружило 2 подозраиельных файла - уже знакомый мне "vax347b.sys", и "PCTCore.sys" (я так понял, это от Spyware Doctor'a, который я в какой-то момент поставил).

    Вобщем, я удалил оба этих файла, перезагрузился - и Gmer запустился! Он находил 5 hidden чего-то-там в "svchost.exe", в одном из названий содержалось "chumpfbuw", в остальных - не помню. К сожалению, на этом дело и заканчивалось - всё повисало, и дальше помогал только Reset.

    В какой-то момент мне удалось подвесить комп так, что перед тем, как он окончательно повис, я успел нажать "Disable Service" на всех этих строках и запустить перезагрузку. Комп перезагружался мееедленно - минут 20, но таки перезагрузился. После этого я запустил Gmer.exe ещё раз и сделал лог.

    Кстати, у меня в Gmer почему-то практически на всех строках активны только 2 опции - "Options" и "About", остальное всё disabled. Это какой-то глюк или так должно быть?

    А ещё в том же Gmer почему-то "Restorе Code" не работает. Выдаёт ошибку "Restorе Code: Присоединенное к системе устройство не работает". Чего ему не хватает?..

    AndreyKa
    Насчёт диска XP с SP3 - уже в поиске))
    Последний раз редактировалось Juk301; 25.05.2010 в 21:59.

  7. #6
    Junior Member Репутация
    Регистрация
    23.05.2010
    Сообщений
    6
    Вес репутации
    51
    Сорри, забыл прикрепить - вот лог...

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    сохраните содержимое в блокноте как 1.bat в папке со gmer запустите , повторите лог ...
    Код:
    wnte0955.exe -del file "C:\WINDOWS\system32\ikqhrlv.dll"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\chumpfbuw"                                                                                                                            
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\epywilaof"                                                                                                                    
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rfnusnril"                                                                                                                        
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\chumpfbuw"                                                                                                                             
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\epywilaof"                                                                                                                            
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rfnusnril"                                                                                                                
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\chumpfbuw"       
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\epywilaof"       
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rfnusnril"       
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\chumpfbuw"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rfnusnril"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\chumpfbuw"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\rfnusnril"                     
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\chumpfbuw"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\rfnusnril" 
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\chumpfbuw"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\ekgbf"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\ofokgj"             
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\rfnusnril" 
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\chumpfbuw"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ekgbf"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ofokgj"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\rfnusnril" 
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\chumpfbuw"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\ekgbf"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\ofokgj"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\rfnusnril"                         
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\chumpfbuw"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\ekgbf"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\ofokgj"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\rfnusnril"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\chumpfbuw"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\ekgbf"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\epywilaof"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\ofokgj"
    wnte0955.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\rfnusnril"            
    wnte0955.exe -reboot

  9. #8
    Junior Member Репутация
    Регистрация
    23.05.2010
    Сообщений
    6
    Вес репутации
    51
    Есть, запустил. Результаты:

    Код:
    ikqhrlv.dll - File not found
    ControlSet005\Services\epywilaof - Delete Key: Не найден указанный модуль
    ControlSet006\Services\epywilaof - Delete Key: Не найден указанный модуль
    После перезапуска система выглядит крайне странно, особенно панель с меню "Пуск". Практически ничего не запускается, переключение между окнами возможно исключительно при нажатии Alt+Tab.

    Gmer запустился, скоро постараюсь выложить лог.

    Ещё я покопался в реестре и нашёл в "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ SvcHost" ключ "netsvcs" (тип REG_MULTI_SZ), последние значения которого полностью соответствуют удаляемым службам:

    Код:
    chumpfbuw, epywilaof, rfnusnril, ekgbf, ofokgj
    Вопрос - стоит ли мне почистить этот ключ от всех этих гадостей?

    И ещё вопрос: в некоторых ControlSet'ах остались папки типа "LEGACY_CHUMPFBUW". Стоит ли мне их тоже поубивать?..

    Добавлено через 40 минут

    Чёрт! Вообще ничего не работает! Я даже ярлыки по рабочему столу перемещать теперь не могу!..

    У меня даже лог записался, но операция копирования и перемещения на моём компьютере отказывается работать. Не знаю, что делать...
    Последний раз редактировалось Juk301; 26.05.2010 в 00:47. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    23.05.2010
    Сообщений
    6
    Вес репутации
    51
    Вот лог. У меня система уже еле дышит.

    Кстати, вот полный список значений ключа "netsvcs" в "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVers ion\ SvcHost":

    Код:
    6to4, AppMgmt, AudioSrv, Browser, CryptSvc, DMServer, DHCP, ERSvc, EventSystem, FastUserSwitchingCompatibility, HidServ, Ias, Iprip, Irmon, LanmanServer, LanmanWorkstation, Messenger, Netman, Nla, Ntmssvc, NWCWorkstation, Nwsapagent, Rasauto, Rasman, Remoteaccess, Schedule, Seclogon, SENS, Sharedaccess, SRService, Tapisrv, Themes, TrkWks, W32Time, WZCSVC, Wmi, WmdmPmSp, winmgmt, wscsvc, xmlprov, BITS, wuauserv, ShellHWDetection, helpsvc, WmdmPmSN, biazmr, zhsneq, rfnusnril, epywilaof, chumpfbuw, ekgbf, ofokgj
    Теперь, кстати, у меня даже AVZ по-человечески не запускается. При попытке выполнить скрипт пишет
    Код:
    Error executing command RUNSCAN, error - Access violation at address 00404E6C in module 'avz.exe'. Read of address 2BA86790.
    Значит ли это, что моя система близится к папа-папа, неминуемой смерти?.....

  • Уважаемый(ая) Juk301, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 01.07.2011, 07:59
    2. вирус блокирует браузеры и все остальное
      От Lachesis в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 15.04.2011, 01:45
    3. Зависает с начала меню пуск и потом всё остальное (заявка №50577)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 0
      Последнее сообщение: 27.01.2011, 03:00
    4. Ответов: 2
      Последнее сообщение: 10.03.2010, 21:41
    5. startdrv.exe и все остальное
      От VadimSpl в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 02:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00818 seconds with 19 queries