помогите пожалуйста

Printable View

08.06.2011, 09:00
WWVetal

помогите пожалуйста

при загрузке винды у меня ХР. вылазит ошибка services.exe Предлагает ОК или ОТМЕНА. Нажимаю любое появляется сообщение о том что система будет перезагружена через минуту. Ну и перезагрузка вызвана NT AUTHORITY
08.06.2011, 09:04
Info_bot

Уважаемый(ая) [B]WWVetal[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
08.06.2011, 12:26
Nikkollo

virusinfo_cure.zip уберите из вложений и загрузите его из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

Пофиксите в HijackThis:
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,
O3 - Toolbar: Fishker - {DD834569-3C3F-46c0-80E9-275B542D16DF} - (no file)

[/CODE]

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\notebook\Application Data\archsoft\archstart.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\soorouk.exe','');
QuarantineFile('C:\WINDOWS\system32\cemoofeg.exe','');
QuarantineFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT2.tmp.exe','');
QuarantineFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT4.tmp.exe','');
QuarantineFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DATA.tmp.exe','');
QuarantineFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT17.tmp.exe','');
QuarantineFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DATDD.tmp.exe','');
QuarantineFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT32.tmp.exe','');
QuarantineFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT3.tmp.exe','');
QuarantineFile('C:\WINDOWS\system32\mouquag.exe','');
QuarantineFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT33.tmp.exe','');
QuarantineFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT1.tmp.exe','');
DeleteFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT1.tmp.exe');
BC_DeleteSvc('bffqtzfrgdlyky');
DeleteFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT33.tmp.exe');
BC_DeleteSvc('dmupnvfxe');
DeleteFile('C:\WINDOWS\system32\mouquag.exe');
BC_DeleteSvc('ea9mnejew4pkuoz5');
DeleteFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT3.tmp.exe');
BC_DeleteSvc('igcemnfgdpzr');
DeleteFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT32.tmp.exe');
BC_DeleteSvc('izunspputwomdp');
DeleteFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DATDD.tmp.exe');
BC_DeleteSvc('jbyhwjcsfcijyn');
DeleteFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT17.tmp.exe');
BC_DeleteSvc('kgammiokugyd');
DeleteFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DATA.tmp.exe');
BC_DeleteSvc('psrfqawggxwwm');
DeleteFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT4.tmp.exe');
BC_DeleteSvc('ruljaguuwuakzug');
DeleteFile('C:\DOCUME~1\notebook\LOCALS~1\Temp\DAT2.tmp.exe');
BC_DeleteSvc('srmqxvcqhuhgqr');
DeleteFile('C:\WINDOWS\system32\cemoofeg.exe');
BC_DeleteSvc('vx7aotyxop6eu');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\soorouk.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','socyfif');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','socyfif');
DeleteFile('C:\Documents and Settings\notebook\Application Data\archsoft\archstart.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxarj');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
08.06.2011, 13:42
WWVetal

пофиксил. Скрипт выполнил без ошибок. потом снова появилось окно что система отключиться через минуту. Подождал. Он так и не выключился. Пришлось выкючить экстренно. И теперь не запускается винда. Доходит до надписи Acer и виснет

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Все нормально. Просто он с флэшкой не хочет загружаться
08.06.2011, 14:25
WWVetal

вроде все собрал
08.06.2011, 16:18
Bratez

[B]WWVetal[/B], карантин надо не к сообщению прикреплять, а загружать по красной ссылке вверху темы "Прислать запрошенный карантин".
08.06.2011, 16:35
WWVetal

сделал по ссылке. ок
08.06.2011, 18:47
Nikkollo

Подозрений больше нет. Что с проблемой?
09.06.2011, 10:20
WWVetal

ничего не изменилось. Так же выскакивает ошибка services.exe до приветствия. И если ее не трогать работает нормально. Тока выключаться и перезагружаться не хочет

[size="1"][color="#666686"][B][I]Добавлено через 1 час 15 минут[/I][/B][/color][/size]

ничем не поможете????:(
09.06.2011, 13:29
Nikkollo

Сделайте лог MBAM:
[url]http://virusinfo.info/showthread.php?t=53070[/url]
и приложите.
09.06.2011, 18:07
WWVetal

сделал. один объект он нашел. Я его удалил. ничего особенного. Может вируса и нет. Всмысле его удалили а систему он запорол?????
10.06.2011, 09:01
WWVetal

????? уже ничего не сделать?
10.06.2011, 16:45
Nikkollo

Сделайте скриншоты окошек с ошибками и приложите.

В AVZ - меню Сервис - Системные утилиты - "SFC - проверка системных файлов".
Если проверка запросит диск с дистрибутивом Windows, вставьте его в привод.

Так же попробуйте это:
[url]http://support.kaspersky.ru/faq/?qid=208636926[/url]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
12.06.2011, 11:04
WWVetal

Сделал проверку системных файлов через авз. Ничего не написал, никакого отчета.

И через тдсс ничего не нашел ((((
12.06.2011, 12:47
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
12.06.2011, 20:19
WWVetal

запустил комбофикс. Он распаковался. и сразу вылезла ошибка, что система будет перезагружена. И он не успевает выполниться, как все виснет. Ну вобщем никак я его не смогу сделать

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

хотя файл появился C:/combofix точнее это папка. Там отображается весь мой компьютер 18мб весит. Присылать?
13.06.2011, 01:18
thyrex

Пробуйте сделать лог в безопасном режиме
13.06.2011, 13:29
WWVetal

и в безопасном он не успевает. из за этой ошибки комп перезагружается
15.06.2011, 07:41
WWVetal

ВСЕ?????????
15.06.2011, 21:07
thyrex

Когда пойдет отсчет времени

Пуск - Выполнить
Ввести
[QUOTE][B]shutdown -a[/B][/QUOTE]Это должно остановить перезагрузку
16.06.2011, 08:03
WWVetal

Не получается ничего. Он все равно выключается. Причем резко. как будто его из разетки выдернули.
17.06.2011, 08:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]