-
Junior Member
- Вес репутации
- 59
Синий экран, очень нужна помощь
Здравствуй те, уже наверное не в первый раз. На работе на компьютере проблема. Не с того не с сего комп вываливается в синий экран, но не перезагружается, а при нажатии на любую клавишу вываливается обратно в виндовс. Происходит это с разной переадичностью. Куритом прошел по максимуму. Есть вирусы он их вродя удаляет, но после перезагрузки они опять появлются. Дорогие хелперы помогите плиз...
Последний раз редактировалось Ray11; 27.06.2008 в 13:53.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdjdv.exe] C:\WINDOWS\system32\kdjdv.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Анжелика\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Анжелика\svchost.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{401EDBA7-3148-4939-BA53-B8557F5A0E6D}: NameServer = 85.255.115.69,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{E111E073-B736-4DD5-802C-52A0B3409BE8}: NameServer = 85.255.115.69,85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.69 85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{401EDBA7-3148-4939-BA53-B8557F5A0E6D}: NameServer = 85.255.115.69,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.69 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{401EDBA7-3148-4939-BA53-B8557F5A0E6D}: NameServer = 85.255.115.69,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.69 85.255.112.7
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
DeleteService('CcEvtSvc');
DeleteService('RasMan');
DeleteService('Bhn17');
DeleteService('Google Online Services');
DeleteService('mnmsrvc');
DeleteService('Schedule');
DeleteService('Elr06');
DeleteService('Winvd85');
QuarantineFile('C:\DOCUME~1\0EEC~1\LOCALS~1\Temp\1.EXE','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\Documents and Settings\Анжелика\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Elr06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvd85.sys','');
QuarantineFile('C:\Documents and Settings\Анжелика\svchost.exe','');
QuarantineFile('C:\WINDOWS\msvupdater.exe','');
QuarantineFile('C:\WINDOWS\system32\blphcv8pj0e305.scr','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\kdjdv.exe','');
QuarantineFile('kdjdv.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('kdjdv.exe');
DeleteFile('C:\WINDOWS\system32\kdjdv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\blphcv8pj0e305.scr');
DeleteFile('C:\WINDOWS\msvupdater.exe');
DeleteFile('C:\Documents and Settings\Анжелика\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvd85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Elr06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bhn17.sys');
DeleteFile('C:\DOCUME~1\0EEC~1\LOCALS~1\Temp\1.EXE');
DeleteFile('C:\WINDOWS\system32\mnmsrvc.exe');
DeleteFile('C:\Documents and Settings\Анжелика\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки и кэш проводников.
-Закачайте карантин по красной ссылке вверху темы
-Повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Карантин залил, логи щас выложу
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Ray11; 27.06.2008 в 13:53.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ZZZdrv_lich');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
QuarantineFile('C:\lich.sys','');
DeleteFile('C:\lich.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки и кэш проводников.
-Закачайте карантин по красной ссылке вверху темы
-Повторите логи.
Нужно поставить Сервис Пак 3.
Что у Вас с Интернет Эксплорером?
-
-
Junior Member
- Вес репутации
- 59
Карантин закачал, щас логи
С ИЕ на работе ? или дома ? дома была проблема, но ИЕ 8 решил её.
На работе с ИЕ вродя нормально все, только картинки не кажет. но это отключено.Оказывается не отключено, действительно с ИЕ беда. Непонятно что такое
СП3 - поставлю
Последний раз редактировалось Ray11; 27.06.2008 в 12:19.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Ray11; 27.06.2008 в 13:53.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Сообщение от
Ray11
С ИЕ на работе ? или дома ?
На этом ПК. Где он у Вас стоит - мой хрустальный шарик не показывает Где Вы такую экзотическую бету Хайджека откопали? Скачайте тулзу по ссылке в правилах и сделайте новый лог Хайджека.
Этот сервер из Нидерландов Вам знаком? 193.141.43.129
Скрипт запустите
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\47.tmp','');
DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
DeleteFile('C:\WINDOWS\TEMP\47.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Очистите темп-папки и кэш проводников.
Потом повторите логи
-
-
Junior Member
- Вес репутации
- 59
шарик - смешно
да блин на флешке валялась фик знает каких годов =)
лог перезаливаю
Последний раз редактировалось Ray11; 27.06.2008 в 13:53.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Сообщение от
Ray11
C:\WINDOWS\system32\CNAB4RPK.EXE - это нормальный файл ?
Угу : http://www.whatsrunning.net/whatsrun...?Process=12123
Вы скрипт из сообщения 8 выполнили? ПК после скрипта чистили?
-
-
Junior Member
- Вес репутации
- 59
Этот сервер из Нидерландов Вам знаком? 193.141.43.129 - ДНС у тарелки
C:\WINDOWS\system32\CNAB4RPK.EXE - это нормальный файл ?
логи выкладываю
Блин оперу сглючило, все логи залились ?:
Последний раз редактировалось Ray11; 27.06.2008 в 13:53.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Сообщение от
Ray11
все логи залились ?:
Логи залились. Повторите скрипт из сообщения 8. Очистите ПК, повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнил. ПК - Очистил
Логи прилогаю
Но я привысл какой то там лемит по файлам на форуме.. Че делать ?
Блин не работает парнер банк через ИЕ афигеть. не может старницу отобразить.
Наверное не знает никто что с ИЕ такое ?
Последний раз редактировалось Ray11; 27.06.2008 в 13:53.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Давайте по-порядку:
Удалите старые логи через Мой Кабинет/Вложения.
Закачайте новые.
Про банк - будем потом посмотреть.
-
-
Junior Member
- Вес репутации
- 59
Ужасно наверное все
логи
Последний раз редактировалось Ray11; 27.06.2008 в 14:50.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Не надо драматизировать ситуацию
Скачайте отсюда http://virusinfo.info/showthread.php?t=17228 , найдите и удалите через опцию force delete
Код:
C:\WINDOWS\TEMP\47.tmp
Потом повторите только _syscheck лог.
-
-
Junior Member
- Вес репутации
- 59
логи
ох.. чет уже не весело с партнером и с ИЕ
Последний раз редактировалось Ray11; 26.08.2008 в 13:04.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Сообщение от
Ray11
чет уже не весело с партнером и с ИЕ
Файл не ушел. Подождем предложений коллег. Можете попробовать удалить его в безопасном режиме.
Насчет банка: При лечении был очевидно удален или поврежден сертификат безопасной страницы. Зайдите на домашнюю страницу банка и попробуйте залоггиниться оттуда.
Предварительно выполните скрипт
Код:
begin
executerepair(2);
executerepair(3);
executerepair(4);
executerepair(13);
end.
после чего перегрузите машину.
-
-
Junior Member
- Вес репутации
- 59
Дело в том что файла C:\WINDOWS\TEMP\47.tmp - такого нет
При попытки зайти через сайт и залогинится говорит что старница не найдена
Сертификат пробывал ему подпихнуть с дискеты говорит что он успешно его туда вставил, а на самом деле его нет.
Скрипт выполнил.
| Говорят, смерть убивает человека, но не смерть убивает. Убивает скука и безразличие. |
-
Сообщение от
Ray11
Дело в том что файла C:\WINDOWS\TEMP\47.tmp - такого нет
У Вас включена опция Показывать скрытые и системные файлы?
При попытки зайти через сайт и залогинится говорит что старница не найдена
А другим проводником (Оперой или Лисой) получается?
-