Синий экран смерти

Printable View

25.08.2008, 16:28
i90982

Синий экран смерти

С утра ничего не предвещало плохого. Стоял на защите McAfee и все было хорошо. Внезапно выскочило окно"
"Warning! Spyware detected on your computer!
Win 32/Adware.Virtumonde
Win 32/PrivacyRemover.M64".
Ни Mc Afee, ни DrWeb ничего не засекают (проверка по очереди, естественно). К счастью, есть несколько здоровых машин, с которых можно взять установщик). Касперский при закачке автоматически блокируется.
Методом "танца с бубном" через реестр табличку убрал, остался синий экран смерти. До рабочего стола не прогружается, но через диспечер задач с машиной работать можно.
Помогите, пожалуйста, вылечится.
25.08.2008, 17:01
Rene-gad

Выполните проверку системы AVPTool (ссылка в подписи). Потом повторите логи.
25.08.2008, 17:07
V_Bond

деинсталируйте спайбот , антитроян ... они бесполезны
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\oembios.exe,
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
BC_DeleteSvc('Winyl22');
BC_DeleteSvc('Winwb88');
BC_DeleteSvc('Winwb86');
BC_DeleteSvc('Winvp75');
BC_DeleteSvc('Winvs83');
BC_DeleteSvc('Winuu82');
BC_DeleteSvc('Winud53');
BC_DeleteSvc('Winrv22');
BC_DeleteSvc('Winrk88');
BC_DeleteSvc('Winrb66');
BC_DeleteSvc('Winqg27');
BC_DeleteSvc('Winqc82');
BC_DeleteSvc('Winpe54');
BC_DeleteSvc('Winom52');
BC_DeleteSvc('Winol07');
BC_DeleteSvc('Winoh06');
BC_DeleteSvc('Winmg52');
BC_DeleteSvc('Winmc55');
BC_DeleteSvc('Winlb33');
BC_DeleteSvc('Winky04');
BC_DeleteSvc('Winjm18');
BC_DeleteSvc('Winit51');
BC_DeleteSvc('Winhh42');
BC_DeleteSvc('Winge47');
BC_DeleteSvc('Winew57');
BC_DeleteSvc('Winev85');
BC_DeleteSvc('Wined18');
BC_DeleteSvc('Wined13');
BC_DeleteSvc('Windk44');
BC_DeleteSvc('Winbq88');
BC_DeleteSvc('Winab83');
BC_DeleteSvc('wuauservMouhrir');
BC_DeleteSvc('TrkWksShellHWDetection');
BC_DeleteSvc('Themes LiveUpdate Scheduler');
BC_DeleteSvc('Themes Defrag');
BC_DeleteSvc('SysmonLogTapiSrv');
BC_DeleteSvc('TapiSrvSpooler');
BC_DeleteSvc('SwPrvFontCache3.0.0.0WudfSvc');
BC_DeleteSvc('SwPrvFontCache3.0.0.0');
BC_DeleteSvc('srserviceRpcSsPlugPlayNetDDE');
BC_DeleteSvc('srserviceRpcSs');
BC_DeleteSvc('srserviceFaxEHttpSrvupnphost');
BC_DeleteSvc('srserviceFax');
BC_DeleteSvc('RpcSsBITSAudioSrv');
BC_DeleteSvc('RasManccSetMgr');
BC_DeleteSvc('PWSSvcClipSrvMessenger');
BC_DeleteSvc('ProtectedStorageWmiApSrvNetDDE');
BC_DeleteSvc('ProtectedStorageWmiApSrv');
BC_DeleteSvc('PlugPlayNetDDE');
BC_DeleteSvc('Nlaose');
BC_DeleteSvc('NlalanmanworkstationRasAutoNetDDE');
BC_DeleteSvc('NlalanmanworkstationRasAuto');
BC_DeleteSvc('Nlalanmanworkstation');
BC_DeleteSvc('NetlogonABBYY.Licensing.FineReader.Professional.9.0clr_optimization_v2.0.50727_32');
BC_DeleteSvc('MouhrirHTTPFilterMessenger');
BC_DeleteSvc('MDMwuauserv');
BC_DeleteSvc('ImapiServiceWMPNetworkSvc');
BC_DeleteSvc('HTTPFilterMessengerNla');
BC_DeleteSvc('HTTPFilterMessenger');
BC_DeleteSvc('Faxdmserver');
BC_DeleteSvc('ERSvcclr_optimization_v2.0.50727_32');
BC_DeleteSvc('ekrn');
BC_DeleteSvc('EHttpSrvupnphost');
BC_DeleteSvc('EHttpSrv');
BC_DeleteSvc('DcomLaunchsrservice');
BC_DeleteSvc('ClipSrvMessenger');
BC_DeleteSvc('ClipSrvAlerterERSvc');
BC_DeleteSvc('BITSAudioSrv');
BC_DeleteSvc('ALGProtectedStoragedmserver');
BC_DeleteSvc('ALGProtectedStorage');
BC_DeleteSvc('AlerterERSvc');
BC_DeleteSvc('ABBYY.Licensing.FineReader.Professional.9.0clr_optimization_v2.0.50727_32');
DeleteFile('EHttpSrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winab83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbq88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windk44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wined13.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wined18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winev85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winew57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winge47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhh42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhw55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winit51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjm18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winky04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlb33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmc55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoh06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winol07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winom52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpe54.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqc82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqg27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrb66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrk88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrv22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winud53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuu82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvo28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvp75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvs83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwb86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwb88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyl22.sys');
DeleteFile('C:\WINDOWS\system32\oembios.exe');
DeleteFile('C:\WINDOWS\system32\lphccbqj0ea7e.exe');
DeleteFile('C:\WINDOWS\system32\blphccbqj0ea7e.scr');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
25.08.2008, 18:01
i90982

Вроде загрузился. Правда теперь перед появлением рабочего стола на пару секунд пробивается "синий экран". Карантин выслал. Выкладываю логи
25.08.2008, 18:09
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Wintp61');
BC_DeleteSvc('CLTNetCnService');
DeleteService('FastUserSwitchingCompatibilityPolicyAgent');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintp61.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
картинка синего экрана когда появляется ? сразу после начала загрузки ?
25.08.2008, 19:04
i90982

В конце, перед загрузкой рабочего стола. Хотя может у меня уже голюцинации от пережитого страха. Скрипт выполнил, логи выкладываю
25.08.2008, 19:19
V_Bond

пуск - выполнить sc delete FastUserSwitchingCompatibilityPolicyAgen
насчет синего экрана ... запустите поск по маске *.bmp вобщем среди найденных должен быть ваш синий экран ...
26.08.2008, 09:19
i90982

Вложений: 3

Все выполнил, только *.bmp так и не нашел. Ну да бог с ней-не критично.
Появились следующие "безобразия".
1. При загрузке Windows экран приветствия скошен в сторону.
2. В моеи компьютере появилась папка "Web Folders".
3. Компьютер отказывается проводить проверку диска на наличие ошибок. Утверждает, что не может завершить задачу.
4. Отказваеются работать Антивирусы. После установки Dr Web отказывается автоматически запускаться (ключ есть, лицензионный). Утверждает, что компонет для проверки не установлен. KIS 2009 устанавливается, но отказывается обновляться (ключ также имеется). Разрывает соединение с интернет. Переустановка ничего не дает.
6. Система oтказывается соединяться с [URL]http://windowsupdate.microsoft.com[/URL], [URL]http://update.microsoft.com/microsoftupdate[/URL], [URL]http://www.drweb.com[/URL], [URL="http://www.kaspersky.ru"]www.kaspersky.ru[/URL]. Выскакивает либо страница не доступна, либо ошибка 404.
7. Программы отказываются далать чистку реестра (в частности, Auslogics). Говорят, что компонент поврежден - запустите chkdsk. Запуск ничего не дает. Переустановка тоже.
8. Машина стала заметно "тупить".
Вчер вечером путем "шаманств" через автообновление поставил SP3. Ничего не изменилось.
Помогите.
26.08.2008, 09:27
V_Bond

[QUOTE=V_Bond;273936]пуск - выполнить sc delete FastUserSwitchingCompatibilityPolicyAgen
[/QUOTE]
что написал ?
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(13);
RebootWindows(true);
end.
[/code]
вы антивирусы в добавок к симантеку ставите ?
26.08.2008, 09:47
i90982

Выполнял я "sc delete FastUserSwitchingCompatibilityPolicyAgen". На секунду появляется окно Dos и пропадает.
Ну да, антивирусы в добавок к симантеку. Только у меня из продуктов Symantec не Norton-антивирус стоит (когда-то ставил различные модификации, 2007,2008, 360 - не понравилось, снес), а "Norton PartitionMagic 8.0". Нужно снеси?
Скрипт выполнил, все без изменений.
26.08.2008, 14:10
pig

Повторите тогда логи, надо посмотреть, что в результате получилось.
26.08.2008, 18:00
i90982

Вложений: 3

Выкладываю логи.
P.S. Кстати, еще машина переодически зависает при перезагрузке. Раньше такого не наблюдалось...
26.08.2008, 18:16
Rene-gad

Выгрузите все резидентные программы, включите AVZPM и повторите логи начиная от п.10 правил.
Очистите hosts -файл : AVZ/Файл/Восстановление системы, отметь пункт 13, запустить.
26.08.2008, 19:04
i90982

Вложений: 2

Hosts -файл очистил. Все что можно выгрузить - выгрузил. Направляю логи
26.08.2008, 19:42
V_Bond

пуск - программы- стандартные - командная строка sc delete FastUserSwitchingCompatibilityPolicyAgent
и что пишет ...
26.08.2008, 19:56
i90982

Пишет:
DeliteService SUCCESS
26.08.2008, 20:09
V_Bond

вот и ладненько .... это хорошо
virusinfo_syscheck.zip повторите .....
26.08.2008, 22:54
i90982

Вложений: 1

Были проблемы со связью. Направляю virusinfo_syscheck.zip
26.08.2008, 23:28
V_Bond

зловредного ничего нет ...
в каталоге c:\WINDOWS\system32\drivers\etc\host откройте файл(блокнотом) все оттуда удалит оставить только одну строку
127.0.0.1 localhost
27.08.2008, 10:55
i90982

Спасибо всем. Что зловредного ничего нет - это уже хорошо.
Только в каталоге c:\WINDOWS\system32\drivers\etc\ файла host нет, там hosts. C гим и сделал что было указано. Правда, после сохранения у него теперь расширение *.txt...
Проблемы, указанные в посте 8 не исчезли, за исключением п.2.
Антивирусы не работают, сайты микромягких не работают, сайты антивирусов тоже...
Может быть система уже так побита, что ее проще снести, чем реанимировать, а?

P.S. Еще заметил странную штуку, при закачке файлов почему-то заливаются только битые файлы, хотя возможно ни с тех сайтов качаю...
27.08.2008, 11:01
Rene-gad

[QUOTE=i90982;274985]
Только в каталоге c:\WINDOWS\system32\drivers\etc\ файла host нет, там hosts. C гим и сделал что было указано. Правда, после сохранения у него теперь расширение *.txt...
[/QUOTE]теперь он работать не будет. У Вас включена опция в проводнике Показывать расширения файлов известных типов?Скопируйте файл [B]hosts[/B] из папки C:\i386 в c:\WINDOWS\system32\drivers\etc\
27.08.2008, 11:41
V_Bond

[QUOTE=i90982;274985]
Только в каталоге c:\WINDOWS\system32\drivers\etc\ файла host нет, там hosts. C гим и сделал что было указано. Правда, после сохранения у него теперь расширение *.txt...
[/QUOTE]
не могу понять а зачем вы задали расширение ?
нужно просто .... правой кнопкой - отрыть - выбрать блокнот - отредактировать и сохранить ( [B]не сохранить как[/B] ) , а именно сохранить ...
22.02.2009, 07:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\oembios.exe - [B]Trojan-Spy.Win32.Zbot.ehx[/B] (DrWEB: Trojan.Proxy.3781)[/LIST][/LIST]