Ошибка service.exe

Printable View

29.07.2009, 01:27
Jerk

Вложений: 3

Ошибка service.exe

Выдает ошибку системы, ссылается на файл service.exe. минутный отсчет и перезагрузка. ошибка каждые 40-50 минут. иногда (не каждый раз) после перезагрузки выдает ошибку winlogon.exe с точным указанием времени ошибки. стоял НОД с обновлениями - не обнаруживал. Dr.Web Curelt - тоже ничего. После проверки AVZ(для создания логов) перезагрузил систему и компьютер отказывается выключаться(завершение работы на протяжениии 5 минут). выключил в ручную.
29.07.2009, 02:05
Aleksandra

[QUOTE]Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
[COLOR="Red"]Обновите базы AVZ и переделайте логи![/COLOR]
29.07.2009, 02:11
Jerk

Вложений: 3

минуточку

есть положительный момент - система ребутнулась.
29.07.2009, 02:57
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearHostsFile;
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelBHO('{DFDC8970-FD66-4385-B8C0-835A4AA1DA00}');
DelBHO('{17FA5CD6-5737-45c2-B194-74C8A4A7F7E7}');
DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}');
DelBHO('{71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7}');
DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
DelBHO('{EF99BD32-C1FB-11D2-892F-0090271D4F88}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{A20854FD-DDB5-4931-8F76-D11EA2364D94}');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
DelBHO('{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}');
DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');
DelBHO('{00011268-E188-40DF-A514-835FCD78B1BF}');
DeleteService('SPJKDIUM');
DeleteService('MSIServerIDriverT');
QuarantineFile('C:\WINDOWS\system32\advapi32a.exe','');
DeleteService('IHWDT');
QuarantineFile('C:\PROGRA~1\VRUNAM~1.NET\vrnmldr.dll','');
QuarantineFile('C:\Program Files\Vrunam.Net CLient\vrnmcore.dll','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\IHWDT.exe');
DeleteFile('C:\WINDOWS\system32\advapi32a.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\SPJKDIUM.exe');
DeleteFile('C:\WINDOWS\system32\XP-1E348FFD.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=50902[/URL]

3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: 5.137.40.71 pes09pcgate-e.winning-eleven.net
O1 - Hosts: cifra pes2009web.winning-eleven.net
O1 - Hosts: stun.xten.com pes7stun-e.winning-eleven.net
O2 - BHO: (no name) - {00011268-E188-40DF-A514-835FCD78B1BF} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: (no name) - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - (no file)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)[/QUOTE]4. Повторите логи.
29.07.2009, 03:46
Jerk

Вложений: 3

[QUOTE]O1 - Hosts: 5.137.40.71 pes09pcgate-e.winning-eleven.net
O1 - Hosts: cifra pes2009web.winning-eleven.net
O1 - Hosts: stun.xten.com pes7stun-e.winning-eleven.net[/QUOTE]

тут ясно - хостился для Hamachi. Hamachi снес - этих файлов не было.

[QUOTE]O2 - BHO: (no name) - {00011268-E188-40DF-A514-835FCD78B1BF} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)O2 - BHO: (no name) - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - (no file)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)[/QUOTE]
этих просто не было

карантин выслал

восстановление системы было отключено
антивирь тоже был снесен
29.07.2009, 04:31
Aleksandra

Ничего зловредного в логах нет. Что с проблемами?
29.07.2009, 11:37
Jerk

Вложений: 3

пусть полдня поработает. ближе к обеду отпишусь - есть проблемы или нет.

[QUOTE]Система завершает работу. Сохраните данные и выйдите из системы. Отключение системы вызвано HT AUTOURITY\SYSTEM
отключение системы через 00:01:00
ссылается на С:\windows\system32\services.exe с кодом - 1073741819[/QUOTE]ошибки в 12:20, 13:39 и 15:06

после второго падения(13:39) система работала без выхода в интернет.

"восстановление системы" отключено. антивирус не установелен. Полная проверка Dr.WEB CureIt ничего не выявила.

HELP!!! SOS!! помогите проще говоря))))

свежие логи прикрепил

еще два падения - в 17:06 и 19:10
30.07.2009, 15:48
AndreyKa

Обновления на Windows установленны?
30.07.2009, 18:38
Jerk

да. у меня винда по несколько раз на дню обновляется.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

продожаем падать каждые полтора-два часа.

при загрузке винды при появлении рабочего стола стала появлятся консоль на пару секунд (sidebar.exe)
30.07.2009, 19:40
AndreyKa

[QUOTE='Jerk;440459']у меня винда по несколько раз на дню обновляется[/QUOTE]Так может причина в том, что обновления на пиратскую сборку не хотят устанавливаться? :)
30.07.2009, 22:00
Jerk

хех))
нет. в том то и дело. все проверил - все стоит. были подозрения на лавсан и руткиты, пытался закрыть дырки - качал с майкрософта вручную. пишет - "установка не требуется. у вас все нормуль установлено")) дословно не помню.
проверил вручную на все известные трояны по этой теме - хрен! ни одного файла, ни одной записи в реестре.

сча ставлю оутпост - буду смотреть не пытается ли он куда-нибудь законнектится. хотя маловероятно - система уже работала несколько часов без инета и все равно падала.

продолжаю падать((

[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]

оутпост говорит - ничего не коннектится.
30.07.2009, 22:26
pig

IMHO, пора что-то деинсталлировать. У вас видны Алкоголь и Daemon Tools одновременно... хотя виновником может быть совсем другой софт.
30.07.2009, 22:39
AndreyKa

Попробуйте деинсталлировать Vrunam.Net
30.07.2009, 22:59
Jerk

alcohol у себя не нашел. если видишь в логах где он лежит скинь адрес.

в данный момент наблюдаю ошибку.
[QUOTE]service.exe - обнаружена ошибка. приложение будет закрыто.[/QUOTE]
если не жать "не отправлять" ничего не происходит. система работает нормально.
во время ошибки в "process explorer" в дереве service.exe в одном из svchost.exe загорелся активный процесс dwwin.exe

если я выключу процесс service.exe винда запустится? (как бы этот сервис отвечает за журнал событий.) если возможно его отключить, то можно его просто заменить. вопрос - откуда?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

vrunam.net после того как фиксил в хайджеке тоже не вижу.

если видите - пишите адрес. снесу все что осталось

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

так. извиняюсь. вижу vrunam.net в програм файлс. но там два файла - vrnmldr.dll и vrnmcore.dll - когда удаляю пишет "не удается удалить[имяфайла]. нет доступа"
30.07.2009, 23:04
pig

[QUOTE=Jerk;440586]alcohol у себя не нашел.[/QUOTE]
Может, и нет уже:
[code]O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)[/code]

Вот это сильно подозрительно:
[code]O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe[/code]
Что-то для ковыряния в устройствах, судя по имени.

[QUOTE=Jerk;440586]если я выключу процесс service.exe винда запустится? (как бы этот сервис отвечает за журнал событий.)[/quote]
Он ещё за Plug&Play отвечает. Я как раз хотел спросить, какая конкретно служба вылетает. Если это есть в журнале событий.
30.07.2009, 23:27
Jerk

то что она за Plug&Play отвечает я в курсе. но, это собственно по барабану.

есть интересное.)) судя по всему вот оно - журнал событий(приложение).

[QUOTE]дата 30.07.2009 источник Application error
время 21:39:45 категория (100)
тип ошибка код(ID) 1000
описание:
Ошибка приложения service.exe, версия 5.1.2600.5755, модуль vrnmcore.dll, версия 0.0.0.0, адрес 0x0000af69[/QUOTE]vrnmcore.dll - это как раз тот что из vrunam.net

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

а в "process explorer" ничего не вылетело. только одна добавилась - dwwin.exe

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

касательно
[QUOTE]O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe[/QUOTE]

описание: PLFlash DeviceIoControl Service

что с ним делать?
30.07.2009, 23:33
pig

Да ничего, наверное. Раз нашли источник.

А этого vrunam.net в установке и удалении программ нету? Я что-то боюсь писать скрипт хирургического удаления.
30.07.2009, 23:38
Jerk

Вложений: 3

он был. но после удаления *.dll остались.

сча я реестр почищу. проверюсь касп онлайн. снесу весь "не очень нужный софт". почищу темп и прочее. ребутнусь. пришлю новые логи.

а тогда можно и скрипт писать)

вот свежие логи
31.07.2009, 18:08
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор.CIFRA\Local Settings\Temporary Internet Files\Content.IE5\G5XOPL50\HelpLA_lib[1].js','');
DeleteFile('C:\Documents and Settings\Администратор.CIFRA\Local Settings\Temporary Internet Files\Content.IE5\G5XOPL50\HelpLA_lib[1].js');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- [url="http://virusinfo.info/showpost.php?p=435039&postcount=2"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
01.08.2009, 18:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]