Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Помогите! Win2000 BSOD !!! (заявка № 12652)

  1. #1
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61

    Exclamation Помогите! Win2000 BSOD !!!

    Всем привет!
    Очень надеюсь на Вашу помошщь!
    При загрузке до появления окне входа в домен вылетает BSOD со словами
    ***STOP 0x00000050 (0xB7724000, 0x00000000, 0xB76B214E, 0x00000000)
    PAGE_FAULT_IN_NONPAGED_AREA
    Begining dump of phisical memory. Phisical memory dump complete. Contact system administrator.....

    Safe mode загружается, но вылетает сообщение "svchost.exe вызвало ошибку и будет закрыто. Необходимо перезапустить программу." Ну и после этого кое как работает.

    Хорошо что рядом есть работающий ПК с выходом в интернет, с него и пишу, логи пренес на флешке.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('bt848rom.dll','');
     QuarantineFile('C:\WINNT\system32\ntos.exe_','');
     QuarantineFile('C:\WINNT\copyfstq.exe','');
     DeleteFile('C:\WINNT\system32\ntos.exe_');
    BC_ImportDeletedList;
    ClearHostsFile;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезгрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Допрыгались с симантеком советую 2 пункт правил выполнить как указано.С беткой cureit

  5. #4
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61
    Про симантек я уже и забыл давно, у него толи лицензия закнчилась то ли что то ещё, короче был админ, где то полгода назад, чёто делал и после этого симантек из трея пропал и больше я его там не видел, юзал НОД 32

    Добавлено через 29 минут

    Цитата Сообщение от Bratez Посмотреть сообщение
    Пришлите карантин согласно приложению 3 правил.
    Боьшой оказался архив, грузился долго...
    Как слышно? Приём!?
    Последний раз редактировалось Maksud; 22.09.2007 в 16:18. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Не видно вашего карантина...
    Да, там много попало при создании логов. Если большой, можете прислать выборочно, только упомянутые в скрипте. И пожалуй вот этот:
    C:\Documents and Settings\makarov.CORP\Мои документы\Start\update.exe
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61
    Не появился ли присланный мною архив карантина?
    Цитата Сообщение от Bratez Посмотреть сообщение
    можете прислать выборочно, только упомянутые в скрипте.
    Из упомянутых в скрипте, не могу найти в списке карантина
    QuarantineFile('bt848rom.dll','');
    и
    QuarantineFile('C:\WINNT\system32\ntos.exe_','');

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Архив не появился. Пришлите copyfstq.exe и update.exe.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61
    Отправил
    virus1.zip!

    После этого появилось сообщение

    Результат загрузки
    Файл сохранён как 070922_074142_virus1_46f50d86dfe63.zip
    Размер файла 40944
    MD5 a9ce97aa2f743c490501768d6795c08e

    Файл закачан, спасибо!

    А в прошлый раз когда отправлял большой архив такого сообшения не было! :-(

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    update.exe - Trojan-Downloader.Win32.Nurech.az
    copyfstq.exe - пока под подозрением, отправлен в вирлаб.

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe_,
    O20 - AppInit_DLLs:  
    O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing)
    Выполните скрипт:
    Код:
    begin
    DeleteFile( 'C:\Documents and Settings\makarov.CORP\Мои документы\Start\update.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите этот список:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Что из этого нужно - скажите, остальное поправим.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe_,
    O20 - AppInit_DLLs:  
    O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing)
    Сделал

    Выполните скрипт:
    Код:
    begin
    DeleteFile( 'C:\Documents and Settings\makarov.CORP\Мои документы\Start\update.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделал

    Посмотрите этот список:


    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром) - не нужна
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) - не нужна (хотя не уверен)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) - не нужна
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) - не знаю что это
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) - нужна наверное, планировщик всё таки
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) - не знаю что это
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM - нужна 
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) - нужна 
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX  - не знаю что это
    >> Безопасность: Разрешены терминальные подключения к данному ПК - не знаю что это
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику - не знаю что это
    Что из этого нужно - скажите, остальное поправим.
    ПК использыется на работе, постоянно подключён к интернету, используется корпоративное ПО складского учёта позволяющее взаимодействовать с сетью территориально распределённых отделений, почта MS Exchange. Поэтому и надеюсь всё исправить малой кровью, чтобы не переустанавливать винду.

    З.Ы. Я конечно извиняюсь, но скрипты скриптами, а что то положительных сдвигов не видно Всё тот же синий экран с ошибкой . Захожу в сейф моде. Пацтулом весь в слезах натурально.

    Всё ли я правильно делаю?
    Последний раз редактировалось Maksud; 22.09.2007 в 17:46.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните следующий скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    и сделайте новые логи.

    Добавлено через 1 минуту

    + дополнительный лог, как написано тут:
    http://virusinfo.info/showthread.php?t=10387
    Последний раз редактировалось Bratez; 22.09.2007 в 17:49. Причина: Добавлено
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61
    В Safe mode не работает копирование, наверное из за того что svchost.exe вызвало ошибку. А мне бы файло важное куда то переренсти...
    Что посоветуете, пока логи делаются?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    удалить остатки симнтека (утилита на сайте симантека лежит)
    удалить нод.

  15. #14
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61

    О чудо!!!!

    drongo! О чудо!!! Как всё оказалось просто!!! Удалил НОД и пишу уже со своего ПК!!! Спасибо Вам Большое! Bratez - тоже большой респект, все эти AVZ и скрипты - прикольная штука, в которой я ничего не понял, и поэтому преклоняюсь перед Вашим мастерством!
    Если что буду обращаться, и другим рекомендовать в первую очередь этот сайт!

    З.Ы. А как же мне теперь без НОДа, до этого момента он мне вполне нравился . Или он просто "ругался" с симантеком, и если я удалю остатки симантека, как сказал drongo, и поставлю заново НОД, то всё будет пучком???

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все-таки логи сделайте, особенно дополнительный, там наверняка надо будет кое-что подчистить.
    если я удалю остатки симантека, как сказал drongo, и поставлю заново НОД, то всё будет пучком???
    Скорее всего так.

    Добавлено через 59 секунд

    Кстати, пришел ответ про copyfstq.exe - он чистый.
    Последний раз редактировалось Bratez; 22.09.2007 в 19:02. Причина: Добавлено
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61
    Вот последние логи которые я делал из безопасного режима!
    Буду рад ещё получить консультацию по повышению безопасности своего ПК.
    Всё, побежал снимать стресс, а то уже не могу - на измену присел неподецки - если бы не разрулилось до понедельника, то меня ждала жестокая извращённая расправа от клиентов и руководства.
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61
    Кстати, пришел ответ про copyfstq.exe - он чистый.


    Это утилитка Total Copy. Программа для копирования файлов с поддеркой докачки, паузы, ограничения скорости, докачка после выключения питания, обычно копирует быстрее чем windows. Показывает: Скорость скачки, остаток скачки в байтах. Удобный интерфейс.

    Мне всегда казалось что copyfstq.exe это её процесс, который следит и подхватывает копирование...

  19. #18
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    10
    Вес репутации
    61
    Цитата достойная башорга, прихожу домой, друг спрашивает:
    Ну что разобрался с компом на работе?
    Я: ДА!
    Друг: Ну и чё ты сделал?
    Я: Снёс НОД 32!
    Друг: И что теперь вирусы чувствуют себя хозяевами на компе и снисходительно позволяют тебе поработать?!

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вы полнить скрипт в Safe Mode, отключив антивирус:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\??\C:\WINNT\system32\k53lock.sys','');
     DeleteFile('C:\WINNT\system32\k53lock.sys');
    BC_DeleteSvc('k53lock');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки загрузить карантин, если будет не пустой.
    Последний раз редактировалось PavelA; 24.09.2007 в 12:20. Причина: THK Bratez
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    в каждой шутке есть доля правды, однако и так нод не замечал руткита

  • Уважаемый(ая) Maksud, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 9
      Последнее сообщение: 23.04.2010, 14:06
    2. BSOD после подключения сетевого кабеля win2000
      От VictorZuev в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:27
    3. проверьте win2000
      От fotorama в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.10.2008, 11:02
    4. Win2000 проблема
      От DoggoD в разделе Microsoft Windows
      Ответов: 4
      Последнее сообщение: 18.09.2008, 02:30
    5. Обновление win2000
      От anton_dr в разделе Microsoft Windows
      Ответов: 4
      Последнее сообщение: 24.10.2005, 14:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00693 seconds with 20 queries