-
Student (P)
- Вес репутации
- 54
ПОмогите вылечить комп.
В общем был на компе вирус. Удалили курейтом, теперь вылетает ошибка C:\Windows\system32\service.exe. Если жмём отмену, то комп уходит в ребут, если ок то это сообщение не уходит. Помогите. Флешку не видит и если она вставлена в порт то комп начинает тормозить. AVZ тухнет на запуске получения логов.
Последний раз редактировалось w32stator; 02.06.2010 в 14:44.
Дорога открывается идущему...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
попробуйте полиморфный avz
-
-
Student (P)
- Вес репутации
- 54
Вот логи из ббезопасного режима.
Дорога открывается идущему...
-
Student (P)
- Вес репутации
- 54
Немножко помогли на форуме касперского. Но проблема осталась. Новые логи с безопасного режима.
Дорога открывается идущему...
-
Отключите восстановление системы
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\xupdate.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3698361803-5980880944-969696656-9947\wingn.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\zgygbzpz.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\qnhesywg.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ltodytnk.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\hhqqigew.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\cdivtvfe.sys','');
QuarantineFile('C:\WINDOWS\System32\stacsv.exe','');
DeleteService('zgygbzpz');
DeleteService('qnhesywg');
DeleteService('ltodytnk');
DeleteService('hhqqigew');
DeleteService('cdivtvfe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DeleteFile('C:\WINDOWS\System32\Drivers\cdivtvfe.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hhqqigew.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ltodytnk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qnhesywg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\zgygbzpz.sys');
DeleteFile('C:\WINDOWS\System32\stacsv.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3698361803-5980880944-969696656-9947\wingn.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\xupdate.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам в обычном режиме
-
-
Student (P)
- Вес репутации
- 54
После выполнения логов. Лучше не стало. Всё так же повторяется. С обычного режима сделать логи не получается. Всё зависает на мертво из антивирусов.
Добавлено через 25 минут
Вот дословно ошибка:
После загрузки Windows XP незамедлительно вылазит следующая ошибка. Система завершает работу. Сохраните данные и выйдете из системы. Все несохраненные изменения будут потеряны. Отключение системы вызвано NT AUTHORITI\SISTEM. Сообщение: неожиданно завершен процесс C:\Windows\Sistem32\services.exe Код состояния 1073741819. Будет произведена перезагрузка системы"
Последний раз редактировалось w32stator; 02.06.2010 в 14:38.
Причина: Добавлено
Дорога открывается идущему...
-
Отключите компьютер от сети.
Отключите Антивирус.
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
-
-
Student (P)
- Вес репутации
- 54
Сообщение от
AndreyKa
Отключите компьютер от сети.
Отключите Антивирус.
Установите на Windows
Service Pack 3 (может потребоваться активация) и последующие обновления.
В том то и суть. Что каспера не как не выгрузить, он не хочет сам из трея вылазить. Если ставить Сп3 то есть опасность что активация слетит, а ключик далеко от города. Вот сделал логи RSIT'ом(3 месяца) и хиджаком с нормального режима.
Последний раз редактировалось w32stator; 03.06.2010 в 10:23.
Дорога открывается идущему...
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\xupdate.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\xupdate.exe');
DeleteService('ICF ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(19);
ExecuteWizard('SCU', 2, 2, true);
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи hijackthis.log; и RSIT
-
-
Student (P)
- Вес репутации
- 54
Сделал эти скрипты, улучшения нет. Всё тоже присловутое окно с ошибкой.
Вот новые логи.
Первое сообщение редактировать не могу. Выложил в этом сообщении карантин.
Последний раз редактировалось w32stator; 04.06.2010 в 14:14.
Дорога открывается идущему...
-
Файл
quarantine.zip из папки AVZ загрузите по ссылке
Прислать запрошенный карантин вверху темы
карантин из темы убрать.
Добавлено через 2 минуты
Если больше ничего не беспокоит, обновляйте систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Последний раз редактировалось polword; 04.06.2010 в 11:57.
Причина: Добавлено
-
-
Student (P)
- Вес репутации
- 54
Ну как не беспокоит. Нельзя выгрузить каспера. Не запускаются антивирусные программы и не видит флешки, если у сообщения об ошибке нажать отмена.
Дорога открывается идущему...
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-