ПОмогите вылечить комп.

**w32stator** · 02.06.2010, 11:19

В общем был на компе вирус. Удалили курейтом, теперь вылетает ошибка C:\Windows\system32\service.exe. Если жмём отмену, то комп уходит в ребут, если ок то это сообщение не уходит. Помогите. Флешку не видит и если она вставлена в порт то комп начинает тормозить. AVZ тухнет на запуске получения логов.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 02.06.2010, 11:23

попробуйте полиморфный avz

**w32stator** · 02.06.2010, 13:02

Вот логи из ббезопасного режима.

**w32stator** · 02.06.2010, 14:02

Немножко помогли на форуме касперского. Но проблема осталась. Новые логи с безопасного режима.

**DefesT** · 02.06.2010, 14:03

Отключите восстановление системы
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\xupdate.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3698361803-5980880944-969696656-9947\wingn.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\zgygbzpz.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\qnhesywg.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ltodytnk.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\hhqqigew.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\cdivtvfe.sys','');
 QuarantineFile('C:\WINDOWS\System32\stacsv.exe','');
 DeleteService('zgygbzpz');
 DeleteService('qnhesywg');
 DeleteService('ltodytnk');
 DeleteService('hhqqigew');
 DeleteService('cdivtvfe');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
 DeleteFile('C:\WINDOWS\System32\Drivers\cdivtvfe.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\hhqqigew.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ltodytnk.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\qnhesywg.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\zgygbzpz.sys');
 DeleteFile('C:\WINDOWS\System32\stacsv.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-3698361803-5980880944-969696656-9947\wingn.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\xupdate.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам в обычном режиме

**w32stator** · 02.06.2010, 14:38

После выполнения логов. Лучше не стало. Всё так же повторяется. С обычного режима сделать логи не получается. Всё зависает на мертво из антивирусов.

Добавлено через 25 минут

Вот дословно ошибка:
После загрузки Windows XP незамедлительно вылазит следующая ошибка. Система завершает работу. Сохраните данные и выйдете из системы. Все несохраненные изменения будут потеряны. Отключение системы вызвано NT AUTHORITI\SISTEM. Сообщение: неожиданно завершен процесс C:\Windows\Sistem32\services.exe Код состояния 1073741819. Будет произведена перезагрузка системы"

**AndreyKa** · 02.06.2010, 23:51

Отключите компьютер от сети.
Отключите Антивирус.
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.

**w32stator** · 03.06.2010, 10:06

Сообщение от AndreyKa

Отключите компьютер от сети.
Отключите Антивирус.
Установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.

В том то и суть. Что каспера не как не выгрузить, он не хочет сам из трея вылазить. Если ставить Сп3 то есть опасность что активация слетит, а ключик далеко от города. Вот сделал логи RSIT'ом(3 месяца) и хиджаком с нормального режима.

**polword** · 03.06.2010, 15:52

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\xupdate.exe','');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
 DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
 DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\xupdate.exe');
 DeleteService('ICF ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(19);
 ExecuteWizard('SCU', 2, 2, true);
 BC_DeleteSvc('ICF');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи hijackthis.log; и RSIT

**w32stator** · 04.06.2010, 11:17

Сделал эти скрипты, улучшения нет. Всё тоже присловутое окно с ошибкой.
Вот новые логи.
Первое сообщение редактировать не могу. Выложил в этом сообщении карантин.

**polword** · 04.06.2010, 11:57

Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

карантин из темы убрать.

Добавлено через 2 минуты

Если больше ничего не беспокоит, обновляйте систему

- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

**w32stator** · 04.06.2010, 14:17

Ну как не беспокоит. Нельзя выгрузить каспера. Не запускаются антивирусные программы и не видит флешки, если у сообщения об ошибке нажать отмена.

**polword** · 04.06.2010, 14:26

- Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 RebootWindows(true);
end.