-
Junior Member
- Вес репутации
- 59
BSOD STOP:0x0000007e
вылетает при загрузке, после того как прошла бегущая полоска "грузится виндовс ХП".
в сэйф моде грузится без проблем. в обычном режиме - вообще никак. поэтому логи сделаны в безопасном режиме.
оперативку протестил - дело не в ней.
cureit нашел 5 зараженных файлов.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msr2ca.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2191046547-4256810950-3211421043-500\Dc1419.zip','');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1c.bin\mwsoemon.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1c.bin\MWSBAR.DLL','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1c.bin\MWSBAR.DLL');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','My Web Search Bar');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1c.bin\mwsoemon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MyWebSearch Email Plugin');
DeleteFile('C:\Program Files\MyWebSearch\bar\1c.bin\MWSBAR.DLL');
DeleteFile('C:\RECYCLER\S-1-5-21-2191046547-4256810950-3211421043-500\Dc1419.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
карантин загрузил.
логи чуть позже.
логи добавил.
Последний раз редактировалось whyworry; 04.11.2009 в 20:27.
-
Код:
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
C:\WINDOWS\system32\msr2ca.dll
Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксить в HiJack
Код:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\msr2ca.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
C:\Documents and Settings\All Users\Документы\Settings\
указанного файла там не было. был только десктоп.ини. его залил в карантин.
C:\WINDOWS\system32\msr2ca.dll
этого файла тоже не было. были два с похожими именами. загружены в карантин.
в хайджеке пофиксил. с бсодом ничего не изменилось. надо логи заново?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
-
Выполнить скрипт из этой темы http://virusinfo.info/showthread.php?t=43700
Лог fystemRoot.log прикрепить к сообщению.
В логе видны два антивируса: DrWeb и Symantec. Оставьте только один.
Попробуйте отключить запуск антивирусов и загрузиться в нормальном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
скрипт выполнил.
симантек стоял давным-давно. видимо, удалился криво. прошелся щас по нему Norton Removal Tool.
доктор веб вообще снёс.
изменений нет.
-
Приложите сюда в архиве пару свежих файлов из папки C:\WINDOWS\Minidump
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
AndreyKa
Приложите сюда в архиве пару свежих файлов из папки C:\WINDOWS\Minidump
а нет их там.
настройки минидампов поставил в соответствие с этим http://www.agnitum.ru/support/kb/art...000125&lang=ru
но не создаются минидампы.
-
Junior Member
- Вес репутации
- 59
так что, господа? по логам есть вирусы еще или в другой области причину проблемы искать?
-
Junior Member
- Вес репутации
- 59
итак, БСОДы победил. как выяснилось, юзверы пытались запускать систему, установив хард на другое железо. слетел HAL.
теперь винда грузится. накатил SP3.
но при старте вылетает ошибка
svchost.exe - инструкция по адресу "0x7c91b1fa" обратилась к памяти бла-бла-бла.
не работает виндовс авто апдейт. настройки доступны, но служба не стартует.
при снятии первого лога AVZ в конце вылезло такое окно. помогло продолжительное нажимание на кнопку "продолжить".
потом решил сам посмотреть лог AVZ в htm файле. после открывания вылезло окно ошибки "svchost", после нажатия Ок комп повис наглухо.
свежие логи прилагаю.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
thyrex
есть. много чего нашел. это всё чикать?
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\Temp\wpv321245771011.exe','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалить в МВАМ все, кроме
Код:
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
ошибка svchost при запуске осталась.
-
Обновления, вышедшие после SP3, ставили?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-