ошибка services.exe

[Bee Juju]

Около месяца при включении компьютера вылазит ошибка services.exe. Может появиться через час работы, а может вылезти вообще, даже до того, как рабочий стол полностью загрузится. Пишет:"Инструкция по адресу "0x7c901e28" обратилась к памяти по адресу "0x71a95355". Память не может быть "written". Если нажать ОК, то вылазит сообщение, что система завершает работу, что отключение системы вызвано NT AUTHORITY\SYSTEM и текст:"Неожиданно завершен системный процесс "C:\WINDOWS\system32\services.exe" с кодом состояния - 1073741819. Будет произведена перезагрузка системы."
Если нажать на отмену - все также.
Везде где обращалась, предлогают переустановить систему, но я не имею возможности - компьютер рабочий.
Помогите, пожалуйста!! Подскажите, что делать.

[thyrex]

Начните с выполнения правил

[Bee Juju]

Я бы рада, но у меня не открывается интернет-страница почему-то. Если нужно что-то выложить, перечислите пожалуйста, я постараюсь сделать.

[Rene-gad]

Скачайте оффлайн-версию правил по ссылке: http://virusinfo.info/soft/rules.zip (правая кнопка мыши/Файл сохранить как... )

[Bee Juju]

Лечить CureIt'ом пробовала - во время лечения в безопасном режиме опять вылазит эта ошибка, и через некоторое время она сама срабатывает и компьютер перезагружается.
База AVZ не обновляется. (И вообще, нет доступа на антивирусные сайты).

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\56e34f4d.exe,\\?\globalroot\systemroot\system32\LF2e78P.exe,C:\WINDOWS\system32\bfqefy.exe,
O20 - Winlogon Notify: pptpr - Invalid registry found

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\FLACDX.ax','');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~DF564E.tmp','');
 QuarantineFile('ф‘|x’.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\LF2e78P.exe','');
 QuarantineFile('C:\WINDOWS\system32\bfqefy.exe','');
 QuarantineFile('C:\WINDOWS\system32\56e34f4d.exe','');
 QuarantineFile('C:\Program Files\plugin.exe','');
 DeleteFile('C:\Program Files\plugin.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 DeleteFile('C:\WINDOWS\system32\56e34f4d.exe');
 DeleteFile('C:\WINDOWS\system32\bfqefy.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\LF2e78P.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
 DeleteFile('ф‘|x’.exe');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\~DF564E.tmp');
 DeleteFile('C:\WINDOWS\system32\FLACDX.ax');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:

- Закачайте файл ..\avz\quarantine.zip для анализа.
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[thyrex]

А также, если скрипт будет выдавать ошибку в строке 7, удалите из скрипта строки

Код:

QuarantineFile('ф‘|x’.exe','');
 DeleteFile('ф‘|x’.exe');

[Bee Juju]

Все сделала. На всякий случай, прикрепила и лог сканирования МВАМ.
Спасибо, что помогаете. Пока что вроде все хорошо, не вылазит.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Игры\release\dragonica.exe','');
 QuarantineFile('C:\WINDOWS\system32\jbforwez.exe','');
 QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
 DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
 RegKeyParam-Del('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\jbforwez.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Скачайте AVZ 4.34, обновите его базы

Сделайте новые логи

Удалите в МВАМ

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные папки:
C:\Documents and Settings\Admin\Application Data\FieryAds (Adware.FieryAds) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Admin\Рабочий стол\АВЗ\Infected\2010-08-13\avz00001.dta (Spyware.OnlineGames) -> No action taken.
D:\System Volume Information\_restore{51D9EB57-73FE-4787-994A-B95E47594CD7}\RP263\A0192614.sys (Rootkit.Agent) -> No action taken.
D:\Documents and Settings\z\Local Settings\Temp\E_4\dp1.fne (Worm.Autorun) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\a9k.bin (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ovfsthhwpewaspiqvagstkwpuhyyxfvxjfpchw.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\ovfsthvesffuqevnpcwrubmyrgabwpryaobeqe.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\winsetup66.exe (Trojan.Downloader) -> No action taken.

[Bee Juju]

Спасибо всем большое, помогло! Ошибка не вылазит, и сайты антивирусные стали открываться.Спасибо еще раз!!!

[Rene-gad]

Скачайте AVZ 4.34, обновите его базы

Сделайте новые логи

Где всё это???

[Bee Juju]

Все сейчас сделаю, не было возможности выхода в интернет просто.

Добавлено через 6 минут

При попытке запустить скрипт с указанным thyrex кодом, вылезает такое окошко:"Ошибка скрипта: ';' expected, позиция [8:13]"

[olejah]

В скрипте, вот в этой строке RegKeyParam-Del('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet \Services\Netprotocol\Parameters','ServiceDll'); уберите чёрточку выделенную красным цветом и выполните скрипт.

[Bee Juju]

Сделала, в МВАМ все удалила.

[thyrex]

Что сейчас с проблемой?

[Bee Juju]

Ничего не вылазит, да и антивирус обновился, а то раньше не мог. Вроде все в порядке. Еще раз спасибо.

[thyrex]

Установите Internet Explorer 8 (даже если им не пользуетесь)

[Bee Juju]

Сейчас сканировала с помощью Nod32, вылезло сообщение об угрозе:"C:\Program Files\Unlocker\eBay_shortcuts_1016.exe » NSIS » eBayShortcuts.exe - модифицированный Win32/Adware.ADON приложение". Побаиваюсь удалять, вдруг чего-то наворочу. Подскажите, пожалуйста, могу удалять или нет? И оно может привести снова к проблеме с services.exe?

[olejah]

Этого можно прибить, к проблемам привести не должно.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 29
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\bfqefy.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4542246, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )
  2. c:\\windows\\system32\\56e34f4d.exe - Trojan.Win32.Jorik.Shiz.ao ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.20, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )
  3. \\\\?\\globalroot\\systemroot\\system32\\lf2e78p.e xe - Backdoor.Win32.Shiz.kb ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.407128, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )