ошибка services.exe

Printable View

13.08.2010, 15:38
Bee Juju

ошибка services.exe

Около месяца при включении компьютера вылазит ошибка services.exe. Может появиться через час работы, а может вылезти вообще, даже до того, как рабочий стол полностью загрузится. Пишет:"Инструкция по адресу "0x7c901e28" обратилась к памяти по адресу "0x71a95355". Память не может быть "written". Если нажать ОК, то вылазит сообщение, что система завершает работу, что отключение системы вызвано NT AUTHORITY\SYSTEM и текст:"Неожиданно завершен системный процесс "C:\WINDOWS\system32\services.exe" с кодом состояния - 1073741819. Будет произведена перезагрузка системы."
Если нажать на отмену - все также.
Везде где обращалась, предлогают переустановить систему, но я не имею возможности - компьютер рабочий.
Помогите, пожалуйста!! Подскажите, что делать.
13.08.2010, 16:01
thyrex

Начните с выполнения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
13.08.2010, 16:05
Bee Juju

Я бы рада, но у меня не открывается интернет-страница почему-то. Если нужно что-то выложить, перечислите пожалуйста, я постараюсь сделать.
13.08.2010, 16:36
Rene-gad

Скачайте оффлайн-версию правил по ссылке: [url]http://virusinfo.info/soft/rules.zip[/url] (правая кнопка мыши/Файл сохранить как... )
13.08.2010, 16:50
Bee Juju

Лечить CureIt'ом пробовала - во время лечения в безопасном режиме опять вылазит эта ошибка, и через некоторое время она сама срабатывает и компьютер перезагружается.
База AVZ не обновляется. (И вообще, нет доступа на антивирусные сайты).
13.08.2010, 17:04
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[url="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/url]:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\56e34f4d.exe,\\?\globalroot\systemroot\system32\LF2e78P.exe,C:\WINDOWS\system32\bfqefy.exe,
O20 - Winlogon Notify: pptpr - Invalid registry found
[/code]
-[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\FLACDX.ax','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~DF564E.tmp','');
QuarantineFile('ф‘|x’.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\LF2e78P.exe','');
QuarantineFile('C:\WINDOWS\system32\bfqefy.exe','');
QuarantineFile('C:\WINDOWS\system32\56e34f4d.exe','');
QuarantineFile('C:\Program Files\plugin.exe','');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('C:\WINDOWS\system32\56e34f4d.exe');
DeleteFile('C:\WINDOWS\system32\bfqefy.exe');
DeleteFile('\\?\globalroot\systemroot\system32\LF2e78P.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
DeleteFile('ф‘|x’.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\~DF564E.tmp');
DeleteFile('C:\WINDOWS\system32\FLACDX.ax');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:

- [url="http://virusinfo.info/upload_virus.php?tid=85316"]Закачайте файл ..\avz\quarantine.zip[/url] для анализа.
- Сделайте лог полного сканирования [url="http://virusinfo.info/showthread.php?t=53070"]MBAM[/url].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
13.08.2010, 17:49
thyrex

А также, если скрипт будет выдавать ошибку в строке 7, удалите из скрипта строки
[CODE]QuarantineFile('ф‘|x’.exe','');
DeleteFile('ф‘|x’.exe');[/CODE]
13.08.2010, 21:53
Bee Juju

Все сделала. На всякий случай, прикрепила и лог сканирования МВАМ.
Спасибо, что помогаете. Пока что вроде все хорошо, не вылазит.
13.08.2010, 22:11
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Игры\release\dragonica.exe','');
QuarantineFile('C:\WINDOWS\system32\jbforwez.exe','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParam-Del('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\jbforwez.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Скачайте [B]AVZ 4.34[/B], [B]обновите его базы[/B]

Сделайте новые логи

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные папки:
C:\Documents and Settings\Admin\Application Data\FieryAds (Adware.FieryAds) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Admin\Рабочий стол\АВЗ\Infected\2010-08-13\avz00001.dta (Spyware.OnlineGames) -> No action taken.
D:\System Volume Information\_restore{51D9EB57-73FE-4787-994A-B95E47594CD7}\RP263\A0192614.sys (Rootkit.Agent) -> No action taken.
D:\Documents and Settings\z\Local Settings\Temp\E_4\dp1.fne (Worm.Autorun) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\a9k.bin (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ovfsthhwpewaspiqvagstkwpuhyyxfvxjfpchw.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\ovfsthvesffuqevnpcwrubmyrgabwpryaobeqe.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\winsetup66.exe (Trojan.Downloader) -> No action taken.[/CODE]
14.08.2010, 13:10
Bee Juju

Спасибо всем большое, помогло! Ошибка не вылазит, и сайты антивирусные стали открываться.Спасибо еще раз!!!
14.08.2010, 14:34
Rene-gad

[QUOTE=thyrex;687677]
Скачайте [B]AVZ 4.34[/B], [B]обновите его базы[/B]

Сделайте новые логи[/QUOTE]Где всё это??? :rtfm:
15.08.2010, 10:29
Bee Juju

Все сейчас сделаю, не было возможности выхода в интернет просто.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

При попытке запустить скрипт с указанным [B]thyrex[/B] кодом, вылезает такое окошко:"Ошибка скрипта: ';' expected, позиция [8:13]"
15.08.2010, 10:33
olejah

В скрипте, вот в этой строке [B]RegKeyParam[B][COLOR="Red"]-[/COLOR][/B]Del('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');[/B] уберите чёрточку выделенную красным цветом и выполните скрипт.
15.08.2010, 11:42
Bee Juju

Сделала, в МВАМ все удалила.
15.08.2010, 11:46
thyrex

Что сейчас с проблемой?
15.08.2010, 11:52
Bee Juju

Ничего не вылазит, да и антивирус обновился, а то раньше не мог. Вроде все в порядке. Еще раз спасибо.
15.08.2010, 12:05
thyrex

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
15.08.2010, 12:25
Bee Juju

Сейчас сканировала с помощью Nod32, вылезло сообщение об угрозе:"C:\Program Files\Unlocker\eBay_shortcuts_1016.exe » NSIS » eBayShortcuts.exe - модифицированный Win32/Adware.ADON приложение". Побаиваюсь удалять, вдруг чего-то наворочу. Подскажите, пожалуйста, могу удалять или нет? И оно может привести снова к проблеме с services.exe?
15.08.2010, 12:30
olejah

Этого можно прибить, к проблемам привести не должно.
16.08.2010, 12:30
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\bfqefy.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4542246, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\windows\\system32\\56e34f4d.exe - [B]Trojan.Win32.Jorik.Shiz.ao[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.20, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )[*] \\\\?\\globalroot\\systemroot\\system32\\lf2e78p.exe - [B]Backdoor.Win32.Shiz.kb[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.407128, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )[/LIST][/LIST]