BSOD STOP:0x0000007e

Printable View

09.12.2008, 23:13
coldoon

BSOD STOP:0x0000007e

Добрый вечер всем
началось все с того что стал виснут FireFox (комп просто перегружался при попытке запустить его). После очередной перезагрузки выдал бсод с кодом 0х000004F. Откатил систему, вроде завелась,но после восстанавления перестал работать Windows installer (установка его с оф сайта майкрософт не помогла), после этого решил написать тут сделал проверку как написано в правилах, Win installer стал корректно работать. Мин 5 полазил в инете, ребутнул комп..и теперь у меня то что наисано в заголовке
PS теперь даже откатить систему не могу так как не успел включить восстановление. До 1го бсода на компе стоял Nod32
09.12.2008, 23:36
V_Bond

почему логи в safe mode ?
все операции выполнять в нормальном режиме ....
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe','');
QuarantineFile('C:\WINDOWS\system32\spool32.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\avi32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
10.12.2008, 08:24
coldoon

логи в safe mode так как бсод еще при загрузки винды, не могу я в норм режиме загрузиться.. взял винт на работу щас тут карантин сделаю
10.12.2008, 10:16
coldoon

новые логи
сейчас они делались на др. компе с моим винтом
10.12.2008, 11:20
V_Bond

загружались с вашего винчестера ?
10.12.2008, 21:52
coldoon

нет с того который был на компе..попробовать со своего?
10.12.2008, 22:02
V_Bond

естесвенно .... эти логи не имеют отношения к вашей системе ....
10.12.2008, 22:11
coldoon

завтра попробую, если при загрузке будет бсод логи в безопасном режиме нужны?
10.12.2008, 22:16
V_Bond

делайте ... (естественно со своего компьютера)
10.12.2008, 23:15
coldoon

вот логи с моего компа в безопасном режиме
10.12.2008, 23:24
V_Bond

выполните скрипт
[code]
begin
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\spool32.exe','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
11.12.2008, 22:30
coldoon

карантин загружен

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 55 минут[/I][/B][/color][/size]

как я и думал при загрузке с компа на работе бсод..

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 22 минуты[/I][/B][/color][/size]

кроме переустановки винды, можно ли что нибудь сделать?

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 39 минут[/I][/B][/color][/size]

ну типа up.
проблема все еще актуальна, мне кто-нибудь может помочь?
11.12.2008, 22:46
V_Bond

C:\WINDOWS\system32\spool32.exe пришлите согласно приложения 2 правил ...
12.12.2008, 22:56
coldoon

у меня нет такого файла
а когда выолняю действия согласно приложения 2 правил авз пишет: Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\spool32.exe)
Карантин с использованием прямого чтения - ошибка
12.12.2008, 22:58
V_Bond

выполните скрипт
[code]
begin
DeleteFile('C:\WINDOWS\system32\spool32.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
12.12.2008, 23:32
coldoon

сделано
12.12.2008, 23:37
V_Bond

пофиксите
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O2 - BHO: qyklibP - {26528DB7-3F17-47C3-B742-8250C7DA5D55} - (no file)
O2 - BHO: fbilibP - {453C1118-A500-4188-BC8D-E196075601BE} - (no file)
O2 - BHO: qrhlibP - {4C4731FC-C4D0-4213-8D85-82A98AAF1E09} - (no file)
O2 - BHO: tprlibP - {DE6532E2-FD43-4DFB-9108-14140DBAB88C} - (no file)
O2 - BHO: rqulibP - {F4A245AD-640B-4FA7-9343-18D511A153AE} - (no file)
O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\spool32.exe
O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)
[/code]
hijackthis.log повторите
12.12.2008, 23:48
coldoon

C:\WINDOWS\system32\userinit.exe - удалил
C:\WINDOWS\system32\twext.exe , C:\WINDOWS\system32\spool32.exe - через поиск не нашел
13.12.2008, 19:06
V_Bond

[QUOTE=coldoon;321399]C:\WINDOWS\system32\userinit.exe - удалил
[/QUOTE]
зачем ? это системный файл .... кто говорил ?
15.12.2008, 12:13
coldoon

всегда думал пофиксить=удалить...копировал userinit.exe с другой системы винда загрузилась нормально бсод пропал, щас доделаю выложу логи
15.12.2008, 13:05
coldoon

..эмм пофиксил то что вы писали выше вот логи
15.12.2008, 15:28
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('BVDMSS');
QuarantineFile('C:\WINDOWS\system32\bvdmss.exe','');
DeleteFile('C:\WINDOWS\system32\bvdmss.exe');
DeleteFile('C:\WINDOWS\system32\spool32.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
15.12.2008, 21:53
coldoon

сделано
15.12.2008, 22:02
V_Bond

ничего зловредного , что с проблемами ?
16.12.2008, 00:55
coldoon

видимых проблем, винда грузиться нормально
спасибо огромное за помощь..теперь воспользуюсь всеми советам с вашего форума чтоб такого не повторилось:)
22.02.2009, 09:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\twext.exe - [B]Trojan-Spy.Win32.Zbot.ggi[/B] (DrWEB: Trojan.PWS.Panda.5)[/LIST][/LIST]