авершение работы системы NT Security. ошибка 1073741819

[joga]

Периодически появляется уведомление о принудительной перезагрузке ПК, с таймером 60 секунд и кодом ошибки 1073741819.

PHP код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\me3A9lD.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\MVBq9iL.exe','');
 QuarantineFile('c:\windows\atk0100\atkosd.exe','');
 QuarantineFile('C:\Program Files\Rar$EX00.735\USDownloader.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\MVBq9iL.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\me3A9lD.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); 
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end. 


Виполнил етот скрипт.

[V_Bond]

http://virusinfo.info/showthread.php?t=1235

[joga]

http://virusinfo.info/showthread.php?t=1235

У меня не открывает сайт ... ( Др.веб касперский и ваш ....) я сижу через ссылку http://216.246.91.178/~virusinf/

[pig]

http://216.246.91.178/~virusinf/pravila.html

[joga]

1. Запустите AVZ*. Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

Оно выполняет срипт 1 час ++ а комп ребутаетса раз в 20 мин гдето ...

[joga]

Оно выполняет срипт 1 час ++ а комп ребутаетса раз в 20 мин гдето ...

Ну Вот пока 2 файла если 3 доделает выложу

3тий файл не поместилса к вам на форум =(( вот: http://rghost.ru/1781740 и кстате теперь номер ошибки 529697949

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
DeleteService('dcj0797');
 DeleteService('bah6240');
 DeleteService('amg85d4');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\bah6240.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\dcj0797.sys','');
 DeleteService('icn40cc');
 DeleteService('jipf009');
 DeleteService('jdo5199');
 DeleteService('icn470c');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\icn470c.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\jdo5199.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\jipf009.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\kek16c6.sys','');
 DeleteService('kek16c6');
 DeleteService('nhn0021');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\nhn0021.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\qpce214.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\qqcbfc8.sys','');
 DeleteService('qqcbfc8');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\rmd941d.sys','');
 DeleteService('rmd941d');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS.0\Application Data\Microsoft\Media\svсhоst.exe','');
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-474548\jovcfv.exe','');
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-474548\Application Data\vgdoqo.exe,explorer.exe,C:\RECYCLER\S-1-5-21-2490316588-9739061336-784036228-7438\yv8g67.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\3sndezp.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\3xtezpg.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\5qqghm8.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\SSVICHOSST.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\brsnt66aar.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\vvrhhdttpff.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\y86k81whidt.exe','');
 QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\hlds_vcrash.exe','');
 QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\svchost.exe','');
 QuarantineFile('c:\windows.0\system32\svchost.exe:exe.exe:$DATA','');
 QuarantineFile('c:\windows.0\svchost.exe','');
 TerminateProcessByName('c:\windows.0\svchost.exe');
 TerminateProcessByName('c:\windows.0\system32\lclass.exe');
 QuarantineFile('c:\windows.0\system32\lclass.exe','');
 DeleteFile('c:\windows.0\system32\lclass.exe');
 DeleteFile('c:\windows.0\svchost.exe');
 DeleteFile('c:\windows.0\system32\svchost.exe:exe.exe:$DATA');
 DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\svchost.exe');
 DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\hlds_vcrash.exe');
 DeleteFile('C:\WINDOWS.0\system32\y86k81whidt.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pfgbr');
 DeleteFile('C:\WINDOWS.0\system32\vvrhhdttpff.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mhinje');
 DeleteFile('C:\WINDOWS.0\system32\brsnt66aar.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xnojz');
 DeleteFile('C:\WINDOWS.0\system32\SSVICHOSST.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger');
 DeleteFile('C:\WINDOWS.0\system32\5qqghm8.exe');
 DeleteFile('C:\WINDOWS.0\system32\3xtezpg.exe');
 DeleteFile('C:\WINDOWS.0\system32\3sndezp.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rnnyzp7');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','opvfb');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-474548\Application Data\vgdoqo.exe,explorer.exe,C:\RECYCLER\S-1-5-21-2490316588-9739061336-784036228-7438\yv8g67.exe');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-474548\jovcfv.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS.0\Application Data\Microsoft\Media\svсhоst.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','hlds_vcrash');
 DeleteFile('C:\WINDOWS.0\System32\drivers\rmd941d.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\qqcbfc8.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\qpce214.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\nhn0021.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\kek16c6.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\jipf009.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\jdo5199.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\icn470c.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\icn40cc.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\dcj0797.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\bah6240.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\amg85d4.sys');
 DelCLSID('{PLXO6H14-6NL1-Q5JE-5OM5-WLC111QFA8X2} ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)

[joga]

Все равно вылазит...

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('C:\WINDOWS.0\system32\Drivers\aecq.sys','');
 QuarantineFile('C:\System Volume Information\_restore{E9ED6FD7-E2ED-4B10-A8D6-1C590B81E93B}\RP1\A0001001.EXE','');
 QuarantineFile('C:\System Volume Information\_restore{E9ED6FD7-E2ED-4B10-A8D6-1C590B81E93B}\RP1\A0000006.EXE','');
 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-474548\Local Settings\Temp\cmd.exe','');
 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
 QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\rll64cd.sys','');
 DeleteService('rll64cd');
 QuarantineFile('C:\WINDOWS.0\System32\DRIVERS\HPZid412x.sys','');
 DeleteService('HPZid412x');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\cri81da.sys','');
 DeleteService('cri81da');
 QuarantineFile('C:\WINDOWS.0\System32\DRIVERS\aecq.sys','');
 DeleteService('aecq');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS.0\Application Data\SeekappSrch\seekapp189.exe','');
 TerminateProcessByName('c:\windows.0\system32\lclass.exe');
 DeleteFile('c:\windows.0\system32\lclass.exe');
 DeleteFile('C:\WINDOWS.0\System32\DRIVERS\aecq.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\cri81da.sys');
 DeleteFile('C:\WINDOWS.0\System32\DRIVERS\HPZid412x.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\rll64cd.sys');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-474548\Local Settings\Temp\cmd.exe');
 DeleteFile('C:\System Volume Information\_restore{E9ED6FD7-E2ED-4B10-A8D6-1C590B81E93B}\RP1\A0000006.EXE');
 DeleteFile('C:\System Volume Information\_restore{E9ED6FD7-E2ED-4B10-A8D6-1C590B81E93B}\RP1\A0001001.EXE');
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
 DeleteFile('C:\WINDOWS.0\system32\LCLASS.EXE');
 DeleteFile('C:\WINDOWS.0\system32\SVCHOTS.EXE');
 DeleteFile('C:\WINDOWS.0\svchost.exe');
 DeleteFile('C:\WINDOWS.0\system32\lclass.exe');
 DeleteFile('C:\WINDOWS.0\system32\Drivers\aecq.sys');
 DeleteFile('C:\WINDOWS.0\Temp\cmd.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог Gmer

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 182
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\admin.microsof-474548\jovcfv.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )
  2. c:\documents and settings\admin.microsof-474548\local settings\temp\cmd.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )
  3. c:\documents and settings\admin.microsof-474548\local settings\temp\is-faf7k.tmp\skasetup-132-skapbs.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )
  4. c:\documents and settings\admin.microsof-474548\рабочий стол\-\bred\blackenergy_v1.92_style_v2.rar - DoS.Win32.BlackEnergy.a ( DrWEB: archive: Win32.HLLP.DialPass, BitDefender: Trojan.Generic.24959, NOD32: Win32/Spy.Delf.NHU trojan )
  5. c:\documents and settings\admin.microsof-474548\рабочий стол\-\shadow.rar - not-a-virus:NetTool.Win32.Portscan.c ( BitDefender: Application.HackTool.AngryIpScanner.A )
  6. c:\documents and settings\all users.windows.0\application data\microsoft\media\svсhоst.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )
  7. c:\docume~1\admin~1.mic\locals~1\temp\svchost.exe - Backdoor.Win32.Bredolab.exm ( DrWEB: Trojan.Packed.20373, AVAST4: Win32:MalOb-BH [Cryp] )
  8. c:\system volume information\_restore{e9ed6fd7-e2ed-4b10-a8d6-1c590b81e93b}\rp1\a0000006.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )
  9. c:\system volume information\_restore{e9ed6fd7-e2ed-4b10-a8d6-1c590b81e93b}\rp1\a0001001.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )
  10. c:\windows\system32\lclass.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )
  11. c:\windows\system32\mssrv32.exe - Backdoor.Win32.Kbot.s ( DrWEB: Trojan.DownLoader.26661, BitDefender: Trojan.Generic.2267090, NOD32: Win32/Agent.NGC trojan, AVAST4: Win32:Small-JGP [Trj] )
  12. c:\windows.0\svchost.exe - Virus.Win32.Chuzy.b ( DrWEB: Win32.Fyzy, BitDefender: Trojan.Chuzy.B, NOD32: Win32/Chuzy.B virus, AVAST4: Win32:Fyzy )
  13. c:\windows.0\system32\drivers\aecq.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.4066318, AVAST4: Win32:Malware-gen )
  14. c:\windows.0\system32\lclass.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )
  15. c:\windows.0\system32\ssvichosst.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:AutoIt-BT [Wrm] )
  16. c:\windows.0\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Agent.edqj ( DrWEB: Trojan.Spambot.6760, BitDefender: Gen:Variant.Fakealert.8, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:FakeAlert-MG [Trj] )
  17. c:\windows.0\system32\svchots.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )
  18. c:\windows.0\system32\vvrhhdttpff.exe - Trojan.Win32.Ddox.lo ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, AVAST4: Win32:Malware-gen )
  19. c:\windows.0\system32\y86k81whidt.exe - Trojan.Win32.Ddox.ky ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
  20. c:\windows.0\system32\3sndezp.exe - Trojan.Win32.Ddox.lq ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810 )
  21. c:\windows.0\system32\3xtezpg.exe - Trojan.Win32.Ddox.lt ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
  22. c:\windows.0\system32\5qqghm8.exe - Trojan.Win32.Ddox.lj ( DrWEB: BackDoor.Siggen.14353, BitDefender: Backdoor.Generic.353295, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
  23. c:\windows.0\temp\cmd.exe - Virus.Win32.Delf.da ( DrWEB: Win32.HLLP.DialPass, BitDefender: Trojan.Spy.Delf.LK, NOD32: Win32/Spy.Delf.NHU trojan, AVAST4: Win32:Trojan-gen )