Показано с 1 по 18 из 18.

Неожиданно завершен системный процесс С:\WINDOWS\System32\Services.exe (заявка № 81997)

  1. #1
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24

    Thumbs up Неожиданно завершен системный процесс С:\WINDOWS\System32\Services.exe

    Здравствуйте!

    Проблема следующая - при загрузке компьютера (не всегда, но очень часто) появляется сообщение: "Неожиданно завершен системный процесс С:\WINDOWS\System32\Services.exe c кодом состояния 1073741819", начинается отсчет времени до перезагрузки.

    Панда нашла вирусы Trj/CI.A в количестве 3 штук, а также Trj/AVKiller.AO путь: C:\windows\system32\poof; C:\windows\system 32\kprof и вирус Trj/Lzx32.J путь: C:\windows\system32\xpdx.sys. Все перечисленные гады антивирусом были удалены, однако, при следующей проверке были найдены вновь.

    Проверка CureIt нашла те же вирусы, они снова были удалены.

    Помогите пожалуйста решить проблему!
    Заранее благодарна!
    Вложения Вложения
    Последний раз редактировалось Noyaba; 28.06.2010 в 14:19.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe','');
     QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe','');
     QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll','');
     DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
     QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     DeleteService('kprof');
     QuarantineFile('C:\WINDOWS\system32\kprof','');
     QuarantineFile('C:\WINDOWS\system32\poof','');
     DeleteService('poof');
     DeleteService('Sxd05');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd05.sys','');
     QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sxd05.sys');
     DeleteFile('C:\WINDOWS\system32\poof');
     DeleteFile('C:\WINDOWS\system32\kprof');
     DeleteService('xpdx');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg','DLLName');
     DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
     DeleteFile('C:\WINDOWS\system32\xpdx.sys');
     DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe');
     DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
     DeleteFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe');
     DelBHO('{09B01C32-02E7-4FEF-A566-4F857E476B80}');
     DelBHO('{E335128B-8ADB-4691-8720-67B21B9661A5}');
     QuarantineFile('C:\WINDOWS\system32\5EBAAC\1C06BA.EXE','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_DeleteFile('C:\WINDOWS\system32\kprof');
     BC_DeleteFile('C:\WINDOWS\system32\poof');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24
    Все сделала!
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24
    Еще забыла сказать, не знаю насколько это важно, но когда работал Gmer, где-то на середине проверки появлился синий экран с белым текстом, предупреждавшем о какой-то проблеме, после перезагрузки все прошло нормально. То же самое было и с проверкой CureIt.

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Панду на время выполнения скриптов отключайте

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll','');
     QuarantineFile('C:\WINDOWS\system32\5EBAAC\1C06BA.EXE','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd05.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sxd05.sys');
     DeleteFile('C:\WINDOWS\system32\5EBAAC\1C06BA.EXE');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll');
     DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll');
     DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe');
     DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
     DeleteFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe');
    DelCLSID('{67EFG7H6-8IJL-56YT-KLH4-76WE8D3RAM87}');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C644241}');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642122}');
     DelBHO('{09B01C32-02E7-4FEF-A566-4F857E476B80}');
     DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
     DelBHO('{E335128B-8ADB-4691-8720-67B21B9661A5}');
    DeleteFileMask('C:\PROGRA~1\FieryAds', '*.*', true);
    DeleteDirectory('C:\PROGRA~1\FieryAds');
    DeleteFileMask('C:\RESTORE', '*.*', true);
    DeleteDirectory('C:\RESTORE');
    DeleteFileMask('C:\SYSTEM', '*.*', true);
    DeleteDirectory('C:\SYSTEM');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('xpdx');
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('Sxd05');
     BC_DeleteSvc('poof');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24
    Карантин отправила. Логи прикрепляю к сообщению.
    Возникла проблема с ComboFix. Процесс доходит до стадии Rebooting Windows... please wait и все, дальше действий никаких не происходит, ждала часа полтора, потом перезагрузила.
    По поводу Панды. Я ее отключаю, но в процессах она все равно остается иногда.
    И еще, я тут одним глазком заглянула в логи и заметила что в службах висит VirtualCD6. Я его удаляю уже месяца два, а он никак не хочет удалится полностью. Не могли бы вы подсказать что с ним сделать?
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24
    Еще забыла - при начале сканирования ComboFix выскакивает сообщение: "PEV.cfxxe - обнаружена ошибка. Приложение будет закрыто".

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\HHVcdV6Sys\VC6SecS.exe','');
     DeleteService('VC6SecS');
     DeleteFile('C:\Program Files\HHVcdV6Sys\VC6SecS.exe');
     DeleteFileMask('C:\Program Files\HHVcdV6Sys', '*.*', true);
     DeleteDirectory('C:\Program Files\HHVcdV6Sys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Virtual CD v6 Management Service','EventMessageFile');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - попробуйте еще раз сделать лог Combofix

  10. #9
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24
    Отправляю логи.
    При попытке отправить карантин, мне пишут: "Ошибка загрузки. Данный файл уже был загружен"
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Удалите ComboFix

    Проблема решена?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24
    Все ОК! Спасибо вам огромное!

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24
    Вот сейчас еще заметила, что после всех манипуляций на диске С появились папки FOUND.000-FOUND.003, ComboFix, на диске D - Config.Msi, папка "ce1cdbd3ad860402cfddf9f24cabb6" - пустая, но удаляться не хочет, говорит, что занята каким-то процессом. Что с ними сделать?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    FOUND.000-FOUND.003 - посмотрите, что внутри, там может быть интересное.
    Config.Msi, папка "ce1cdbd3ad860402cfddf9f24cabb6" - пусть себе живут, они служебные. Вторая от установки обновлений, должна была бы удалиться сама, видно, что-то помешало.

  16. #15
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24
    В папках FOUND.000-FOUND.003 находятся файлы FILE0000.CHK, FILE0001.CHK, FILE0002.CHK и т.д. При попытке открыть их вылазит сообщение: "Попытка открыть файл типа "Восстановленные фрагменты файлов" (.CHK). Эти файлы обычно используются ОС и программами. Их изменение может повредить систему". Далее предлагается выбрать программу, с помощью которой я хочу открыть эти файлы.

    Что со всем этим добром делать? Можно их удалить, а то их присутствие на диске С как-то напрягает, я люблю чтобы порядок был!

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Можно и удалить, это давно потерянные данные.

  18. #17
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    10
    Вес репутации
    24
    ОК!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,544
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 32
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Noyaba, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 09.11.2010, 20:23
    2. Ответов: 7
      Последнее сообщение: 06.10.2010, 18:34
    3. Ответов: 8
      Последнее сообщение: 30.09.2010, 06:56
    4. Ответов: 0
      Последнее сообщение: 24.08.2010, 11:33
    5. Ответов: 8
      Последнее сообщение: 05.08.2010, 18:49

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00214 seconds with 23 queries