-
Junior Member
- Вес репутации
- 51
ошибка services.exe
Около месяца при включении компьютера вылазит ошибка services.exe. Может появиться через час работы, а может вылезти вообще, даже до того, как рабочий стол полностью загрузится. Пишет:"Инструкция по адресу "0x7c901e28" обратилась к памяти по адресу "0x71a95355". Память не может быть "written". Если нажать ОК, то вылазит сообщение, что система завершает работу, что отключение системы вызвано NT AUTHORITY\SYSTEM и текст:"Неожиданно завершен системный процесс "C:\WINDOWS\system32\services.exe" с кодом состояния - 1073741819. Будет произведена перезагрузка системы."
Если нажать на отмену - все также.
Везде где обращалась, предлогают переустановить систему, но я не имею возможности - компьютер рабочий.
Помогите, пожалуйста!! Подскажите, что делать.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Начните с выполнения правил
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Я бы рада, но у меня не открывается интернет-страница почему-то. Если нужно что-то выложить, перечислите пожалуйста, я постараюсь сделать.
-
Скачайте оффлайн-версию правил по ссылке: http://virusinfo.info/soft/rules.zip (правая кнопка мыши/Файл сохранить как... )
-
-
Junior Member
- Вес репутации
- 51
Лечить CureIt'ом пробовала - во время лечения в безопасном режиме опять вылазит эта ошибка, и через некоторое время она сама срабатывает и компьютер перезагружается.
База AVZ не обновляется. (И вообще, нет доступа на антивирусные сайты).
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\56e34f4d.exe,\\?\globalroot\systemroot\system32\LF2e78P.exe,C:\WINDOWS\system32\bfqefy.exe,
O20 - Winlogon Notify: pptpr - Invalid registry found
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\FLACDX.ax','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~DF564E.tmp','');
QuarantineFile('ф‘|x’.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\LF2e78P.exe','');
QuarantineFile('C:\WINDOWS\system32\bfqefy.exe','');
QuarantineFile('C:\WINDOWS\system32\56e34f4d.exe','');
QuarantineFile('C:\Program Files\plugin.exe','');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('C:\WINDOWS\system32\56e34f4d.exe');
DeleteFile('C:\WINDOWS\system32\bfqefy.exe');
DeleteFile('\\?\globalroot\systemroot\system32\LF2e78P.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
DeleteFile('ф‘|x’.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\~DF564E.tmp');
DeleteFile('C:\WINDOWS\system32\FLACDX.ax');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
А также, если скрипт будет выдавать ошибку в строке 7, удалите из скрипта строки
Код:
QuarantineFile('ф‘|x’.exe','');
DeleteFile('ф‘|x’.exe');
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Все сделала. На всякий случай, прикрепила и лог сканирования МВАМ.
Спасибо, что помогаете. Пока что вроде все хорошо, не вылазит.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Игры\release\dragonica.exe','');
QuarantineFile('C:\WINDOWS\system32\jbforwez.exe','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParam-Del('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\jbforwez.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте AVZ 4.34, обновите его базы
Сделайте новые логи
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные папки:
C:\Documents and Settings\Admin\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Admin\Рабочий стол\АВЗ\Infected\2010-08-13\avz00001.dta (Spyware.OnlineGames) -> No action taken.
D:\System Volume Information\_restore{51D9EB57-73FE-4787-994A-B95E47594CD7}\RP263\A0192614.sys (Rootkit.Agent) -> No action taken.
D:\Documents and Settings\z\Local Settings\Temp\E_4\dp1.fne (Worm.Autorun) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\a9k.bin (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ovfsthhwpewaspiqvagstkwpuhyyxfvxjfpchw.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\ovfsthvesffuqevnpcwrubmyrgabwpryaobeqe.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\winsetup66.exe (Trojan.Downloader) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Спасибо всем большое, помогло! Ошибка не вылазит, и сайты антивирусные стали открываться.Спасибо еще раз!!!
-
Сообщение от
thyrex
Скачайте AVZ 4.34, обновите его базы
Сделайте новые логи
Где всё это???
-
-
Junior Member
- Вес репутации
- 51
Все сейчас сделаю, не было возможности выхода в интернет просто.
Добавлено через 6 минут
При попытке запустить скрипт с указанным thyrex кодом, вылезает такое окошко:"Ошибка скрипта: ';' expected, позиция [8:13]"
Последний раз редактировалось Bee Juju; 15.08.2010 в 10:29.
Причина: Добавлено
-
В скрипте, вот в этой строке RegKeyParam-Del('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet \Services\Netprotocol\Parameters','ServiceDll'); уберите чёрточку выделенную красным цветом и выполните скрипт.
-
-
Junior Member
- Вес репутации
- 51
Сделала, в МВАМ все удалила.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Ничего не вылазит, да и антивирус обновился, а то раньше не мог. Вроде все в порядке. Еще раз спасибо.
-
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сейчас сканировала с помощью Nod32, вылезло сообщение об угрозе:"C:\Program Files\Unlocker\eBay_shortcuts_1016.exe » NSIS » eBayShortcuts.exe - модифицированный Win32/Adware.ADON приложение". Побаиваюсь удалять, вдруг чего-то наворочу. Подскажите, пожалуйста, могу удалять или нет? И оно может привести снова к проблеме с services.exe?
-
Этого можно прибить, к проблемам привести не должно.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\bfqefy.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4542246, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\56e34f4d.exe - Trojan.Win32.Jorik.Shiz.ao ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.20, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- \\\\?\\globalroot\\systemroot\\system32\\lf2e78p.e xe - Backdoor.Win32.Shiz.kb ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.407128, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )
-