Junior Member
Вес репутации
54
Не могу cам разобраться.Помогите
Та же проблема но теперь уже и на ноутбуке.При установке касперского после перезагрузки синий экран -ругается на kl1.sys. Проактивная защита и файловый антивирус Касперского 2009 не запускаются. При запуске hamachi -синий екран с ошибкой.Но тут еще и при загрузке вылезает svchost.exe(...память не может быть read.)-при закрытии окна вылезает окошко мол "ЗАВЕРШЕНИЕ РАБОТЫ WINDOWS "непредвиденная остановка службы запуска серверных процессов. ПРИ перезагрузке ощибка edd.exe (...память не может быть read.)ВОТ ТАК
Последний раз редактировалось gudge25; 05.08.2009 в 17:42 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1135257537-1382348239-226260686-1749\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1135257537-1382348239-226260686-1749\nissan.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
карантин отослал прицепляю файлы(еще одна особенность-после возобновления со спящего режима синий экран- stop: 0x000000f4)
Сообщение от
gudge25
Но тут еще и при загрузке вылезает svchost.exe(...память не может быть read.)-при закрытии окна вылезает окошко мол "ЗАВЕРШЕНИЕ РАБОТЫ WINDOWS "непредвиденная остановка службы запуска серверных процессов. ПРИ перезагрузке ощибка edd.exe (...память не может быть read.)ВОТ ТАК
уже такого не наблюдаю
Последний раз редактировалось gudge25; 05.08.2009 в 17:42 .
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-1135257537-1382348239-226260686-1749\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи начиная от п.2 Диагностики + лог GMER
Junior Member
Вес репутации
54
Сделал,жду дальнейшей помощи.
Вложения
Вы Гмер просто запустили или кнопку SCAN тоже нажимали?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:windows\system32\drivers\vsfocebwrubrxd.sys','');
DeleteFile('C:windows\system32\drivers\vsfocebwrubrxd.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи начиная от п.2 Диагностики + лог GMER
Последний раз редактировалось Rene-gad; 30.07.2009 в 12:13 .
Junior Member
Вес репутации
54
скан тоже нажимал
проверьте пожалуйста скрипт ---")" expected в позиции 4:64
Добавлено через 33 минуты
Все СПАСИБО ОГРОМНОЕ после удаления vsfocebwrubrxd.sys касперский заработал и хамачи запускается.ПРОШУ ЗАКРЫТЬ ТЕМУ
Последний раз редактировалось PavelA; 05.08.2009 в 19:07 .
Причина: Добавлено
Сообщение от
gudge25
проверьте пожалуйста скрипт ---")" expected в позиции 4:64
Исправил, извините
Логи сделайте, плиз.
Junior Member
Вес репутации
54
щас запустил полное сканирование- после завершения вышлю логи
Junior Member
Вес репутации
54
Вложения
Пофиксте в HijackThis строку:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\sdra64.exe,
Junior Member
Вес репутации
54
Извените можна еще как-нибудь удалить vsfocebwrubrxd.sys----rootkit
Вложения
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service vsfocegsinmpfw
gmer.exe -del file "C:\Windows\system32\vsfocewsp.dll"
gmer.exe -del file "C:\Windows\\system32\drivers\vsfocebwrubrxd.sys"
gmer.exe -del file "C:\Windows\system32\vsfoceucbqjkym.dll"
gmer.exe -del file "C:\Windows\system32\vsfocetbanwqqa.dat"
gmer.exe -del file "C:\Windows\system32\vsfocelhrotqkl.dll"
gmer.exe -del file "C:\Windows\system32\vsfoceprrirfqj.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\vsfocegsinmpfw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\vsfocegsinmpfw"
gmer.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Последний раз редактировалось Rene-gad; 31.07.2009 в 12:08 .
Причина: Дополнил скрипт
Junior Member
Вес репутации
54
Вложения
Junior Member
Вес репутации
54
НЕТ, Спасибо! не знаю чтобы без вас делал!
Для "спасибо" спецкнопка есть:
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 6 В ходе лечения обнаружены вредоносные программы:
c:\recycler\s-1-5-21-1135257537-1382348239-226260686-1749\nissan.exe - Trojan.Win32.Buzus.bqug ( DrWEB: Win32.HLLW.Lime.8 )