-
Junior Member
- Вес репутации
- 52
Неожиданно завершен системный процесс С:\WINDOWS\System32\Services.exe
Здравствуйте!
Проблема следующая - при загрузке компьютера (не всегда, но очень часто) появляется сообщение: "Неожиданно завершен системный процесс С:\WINDOWS\System32\Services.exe c кодом состояния 1073741819", начинается отсчет времени до перезагрузки.
Панда нашла вирусы Trj/CI.A в количестве 3 штук, а также Trj/AVKiller.AO путь: C:\windows\system32\poof; C:\windows\system 32\kprof и вирус Trj/Lzx32.J путь: C:\windows\system32\xpdx.sys. Все перечисленные гады антивирусом были удалены, однако, при следующей проверке были найдены вновь.
Проверка CureIt нашла те же вирусы, они снова были удалены.
Помогите пожалуйста решить проблему!
Заранее благодарна!
Последний раз редактировалось Noyaba; 28.06.2010 в 14:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe','');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll','');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
DeleteService('kprof');
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\WINDOWS\system32\poof','');
DeleteService('poof');
DeleteService('Sxd05');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd05.sys','');
QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxd05.sys');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteService('xpdx');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg','DLLName');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFile('C:\WINDOWS\system32\xpdx.sys');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe');
DelBHO('{09B01C32-02E7-4FEF-A566-4F857E476B80}');
DelBHO('{E335128B-8ADB-4691-8720-67B21B9661A5}');
QuarantineFile('C:\WINDOWS\system32\5EBAAC\1C06BA.EXE','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Еще забыла сказать, не знаю насколько это важно, но когда работал Gmer, где-то на середине проверки появлился синий экран с белым текстом, предупреждавшем о какой-то проблеме, после перезагрузки все прошло нормально. То же самое было и с проверкой CureIt.
-
Панду на время выполнения скриптов отключайте
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll','');
QuarantineFile('C:\WINDOWS\system32\5EBAAC\1C06BA.EXE','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd05.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxd05.sys');
DeleteFile('C:\WINDOWS\system32\5EBAAC\1C06BA.EXE');
DeleteFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe');
DelCLSID('{67EFG7H6-8IJL-56YT-KLH4-76WE8D3RAM87}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C644241}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642122}');
DelBHO('{09B01C32-02E7-4FEF-A566-4F857E476B80}');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
DelBHO('{E335128B-8ADB-4691-8720-67B21B9661A5}');
DeleteFileMask('C:\PROGRA~1\FieryAds', '*.*', true);
DeleteDirectory('C:\PROGRA~1\FieryAds');
DeleteFileMask('C:\RESTORE', '*.*', true);
DeleteDirectory('C:\RESTORE');
DeleteFileMask('C:\SYSTEM', '*.*', true);
DeleteDirectory('C:\SYSTEM');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xpdx');
BC_DeleteSvc('kprof');
BC_DeleteSvc('Sxd05');
BC_DeleteSvc('poof');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин отправила. Логи прикрепляю к сообщению.
Возникла проблема с ComboFix. Процесс доходит до стадии Rebooting Windows... please wait и все, дальше действий никаких не происходит, ждала часа полтора, потом перезагрузила.
По поводу Панды. Я ее отключаю, но в процессах она все равно остается иногда.
И еще, я тут одним глазком заглянула в логи и заметила что в службах висит VirtualCD6. Я его удаляю уже месяца два, а он никак не хочет удалится полностью. Не могли бы вы подсказать что с ним сделать?
-
Junior Member
- Вес репутации
- 52
Еще забыла - при начале сканирования ComboFix выскакивает сообщение: "PEV.cfxxe - обнаружена ошибка. Приложение будет закрыто".
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\HHVcdV6Sys\VC6SecS.exe','');
DeleteService('VC6SecS');
DeleteFile('C:\Program Files\HHVcdV6Sys\VC6SecS.exe');
DeleteFileMask('C:\Program Files\HHVcdV6Sys', '*.*', true);
DeleteDirectory('C:\Program Files\HHVcdV6Sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Virtual CD v6 Management Service','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- попробуйте еще раз сделать лог Combofix
-
-
Junior Member
- Вес репутации
- 52
Отправляю логи.
При попытке отправить карантин, мне пишут: "Ошибка загрузки. Данный файл уже был загружен"
-
Удалите ComboFix
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Все ОК! Спасибо вам огромное!
-
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Вот сейчас еще заметила, что после всех манипуляций на диске С появились папки FOUND.000-FOUND.003, ComboFix, на диске D - Config.Msi, папка "ce1cdbd3ad860402cfddf9f24cabb6" - пустая, но удаляться не хочет, говорит, что занята каким-то процессом. Что с ними сделать?
-
FOUND.000-FOUND.003 - посмотрите, что внутри, там может быть интересное.
Config.Msi, папка "ce1cdbd3ad860402cfddf9f24cabb6" - пусть себе живут, они служебные. Вторая от установки обновлений, должна была бы удалиться сама, видно, что-то помешало.
-
-
Junior Member
- Вес репутации
- 52
В папках FOUND.000-FOUND.003 находятся файлы FILE0000.CHK, FILE0001.CHK, FILE0002.CHK и т.д. При попытке открыть их вылазит сообщение: "Попытка открыть файл типа "Восстановленные фрагменты файлов" (.CHK). Эти файлы обычно используются ОС и программами. Их изменение может повредить систему". Далее предлагается выбрать программу, с помощью которой я хочу открыть эти файлы.
Что со всем этим добром делать? Можно их удалить, а то их присутствие на диске С как-то напрягает, я люблю чтобы порядок был!
-
Можно и удалить, это давно потерянные данные.
-
-
Junior Member
- Вес репутации
- 52
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 32
- В ходе лечения вредоносные программы в карантинах не обнаружены
-