Printable View
вылетает при загрузке, после того как прошла бегущая полоска "грузится виндовс ХП".
в сэйф моде грузится без проблем. в обычном режиме - вообще никак. поэтому логи сделаны в безопасном режиме.
оперативку протестил - дело не в ней.
cureit нашел 5 зараженных файлов.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msr2ca.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2191046547-4256810950-3211421043-500\Dc1419.zip','');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1c.bin\mwsoemon.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1c.bin\MWSBAR.DLL','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1c.bin\MWSBAR.DLL');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','My Web Search Bar');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1c.bin\mwsoemon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MyWebSearch Email Plugin');
DeleteFile('C:\Program Files\MyWebSearch\bar\1c.bin\MWSBAR.DLL');
DeleteFile('C:\RECYCLER\S-1-5-21-2191046547-4256810950-3211421043-500\Dc1419.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
карантин загрузил.
логи чуть позже.
логи добавил.
[CODE]C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
C:\WINDOWS\system32\msr2ca.dll[/CODE]Запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Пофиксить в HiJack
[CODE]R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\msr2ca.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)[/CODE]
[QUOTE]C:\Documents and Settings\All Users\Документы\Settings\[/QUOTE]указанного файла там не было. был только десктоп.ини. его залил в карантин.
[QUOTE]C:\WINDOWS\system32\msr2ca.dll[/QUOTE]этого файла тоже не было. были два с похожими именами. загружены в карантин.
в хайджеке пофиксил. с бсодом ничего не изменилось. надо логи заново?
Сделайте
воть.
Выполнить скрипт из этой темы [url]http://virusinfo.info/showthread.php?t=43700[/url]
Лог fystemRoot.log прикрепить к сообщению.
В логе видны два антивируса: DrWeb и Symantec. Оставьте только один.
Попробуйте отключить запуск антивирусов и загрузиться в нормальном режиме
скрипт выполнил.
симантек стоял давным-давно. видимо, удалился криво. прошелся щас по нему Norton Removal Tool.
доктор веб вообще снёс.
изменений нет.
Приложите сюда в архиве пару свежих файлов из папки C:\WINDOWS\Minidump
[QUOTE=AndreyKa;501362]Приложите сюда в архиве пару свежих файлов из папки C:\WINDOWS\Minidump[/QUOTE]
а нет их там.
настройки минидампов поставил в соответствие с этим [URL]http://www.agnitum.ru/support/kb/article.php?id=1000125&lang=ru[/URL]
но не создаются минидампы.
так что, господа? по логам есть вирусы еще или в другой области причину проблемы искать?
итак, БСОДы победил. как выяснилось, юзверы пытались запускать систему, установив хард на другое железо. слетел HAL.
теперь винда грузится. накатил SP3.
но при старте вылетает ошибка
svchost.exe - инструкция по адресу "0x7c91b1fa" обратилась к памяти бла-бла-бла.
не работает виндовс авто апдейт. настройки доступны, но служба не стартует.
при снятии первого лога AVZ в конце вылезло такое окно. помогло продолжительное нажимание на кнопку "продолжить".
[IMG]http://whyworry.users.photofile.ru/photo/whyworry/2666746/113111747.jpg[/IMG]
потом решил сам посмотреть лог AVZ в htm файле. после открывания вылезло окно ошибки "svchost", после нажатия Ок комп повис наглухо.
свежие логи прилагаю.
Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
[QUOTE=thyrex;507116]Такой лог сделайте [URL]http://virusinfo.info/showpost.php?p=457118&postcount=1[/URL][/QUOTE]
есть. много чего нашел. это всё чикать?
Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\Temp\wpv321245771011.exe','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалить в МВАМ[/URL] все, [B][COLOR="Blue"]кроме[/COLOR][/B]
[CODE]Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.[/CODE]
сделано.
Что с проблемой?
ошибка svchost при запуске осталась.
Обновления, вышедшие после SP3, ставили?