Показано с 1 по 18 из 18.

Неожиданно завершен системный процесс С:\WINDOWS\System32\Services.exe (заявка № 81997)

  1. #1
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51

    Thumbs up Неожиданно завершен системный процесс С:\WINDOWS\System32\Services.exe

    Здравствуйте!

    Проблема следующая - при загрузке компьютера (не всегда, но очень часто) появляется сообщение: "Неожиданно завершен системный процесс С:\WINDOWS\System32\Services.exe c кодом состояния 1073741819", начинается отсчет времени до перезагрузки.

    Панда нашла вирусы Trj/CI.A в количестве 3 штук, а также Trj/AVKiller.AO путь: C:\windows\system32\poof; C:\windows\system 32\kprof и вирус Trj/Lzx32.J путь: C:\windows\system32\xpdx.sys. Все перечисленные гады антивирусом были удалены, однако, при следующей проверке были найдены вновь.

    Проверка CureIt нашла те же вирусы, они снова были удалены.

    Помогите пожалуйста решить проблему!
    Заранее благодарна!
    Последний раз редактировалось Noyaba; 28.06.2010 в 14:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe','');
     QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe','');
     QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll','');
     DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
     QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     DeleteService('kprof');
     QuarantineFile('C:\WINDOWS\system32\kprof','');
     QuarantineFile('C:\WINDOWS\system32\poof','');
     DeleteService('poof');
     DeleteService('Sxd05');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd05.sys','');
     QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sxd05.sys');
     DeleteFile('C:\WINDOWS\system32\poof');
     DeleteFile('C:\WINDOWS\system32\kprof');
     DeleteService('xpdx');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg','DLLName');
     DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
     DeleteFile('C:\WINDOWS\system32\xpdx.sys');
     DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe');
     DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
     DeleteFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe');
     DelBHO('{09B01C32-02E7-4FEF-A566-4F857E476B80}');
     DelBHO('{E335128B-8ADB-4691-8720-67B21B9661A5}');
     QuarantineFile('C:\WINDOWS\system32\5EBAAC\1C06BA.EXE','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_DeleteFile('C:\WINDOWS\system32\kprof');
     BC_DeleteFile('C:\WINDOWS\system32\poof');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51
    Все сделала!

  5. #4
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51
    Еще забыла сказать, не знаю насколько это важно, но когда работал Gmer, где-то на середине проверки появлился синий экран с белым текстом, предупреждавшем о какой-то проблеме, после перезагрузки все прошло нормально. То же самое было и с проверкой CureIt.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Панду на время выполнения скриптов отключайте

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll','');
     QuarantineFile('C:\WINDOWS\system32\5EBAAC\1C06BA.EXE','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd05.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sxd05.sys');
     DeleteFile('C:\WINDOWS\system32\5EBAAC\1C06BA.EXE');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\hmalib.dll');
     DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\bdrlib.dll');
     DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe');
     DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
     DeleteFile('c:\SYSTEM\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exe');
    DelCLSID('{67EFG7H6-8IJL-56YT-KLH4-76WE8D3RAM87}');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C644241}');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642122}');
     DelBHO('{09B01C32-02E7-4FEF-A566-4F857E476B80}');
     DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
     DelBHO('{E335128B-8ADB-4691-8720-67B21B9661A5}');
    DeleteFileMask('C:\PROGRA~1\FieryAds', '*.*', true);
    DeleteDirectory('C:\PROGRA~1\FieryAds');
    DeleteFileMask('C:\RESTORE', '*.*', true);
    DeleteDirectory('C:\RESTORE');
    DeleteFileMask('C:\SYSTEM', '*.*', true);
    DeleteDirectory('C:\SYSTEM');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('xpdx');
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('Sxd05');
     BC_DeleteSvc('poof');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51
    Карантин отправила. Логи прикрепляю к сообщению.
    Возникла проблема с ComboFix. Процесс доходит до стадии Rebooting Windows... please wait и все, дальше действий никаких не происходит, ждала часа полтора, потом перезагрузила.
    По поводу Панды. Я ее отключаю, но в процессах она все равно остается иногда.
    И еще, я тут одним глазком заглянула в логи и заметила что в службах висит VirtualCD6. Я его удаляю уже месяца два, а он никак не хочет удалится полностью. Не могли бы вы подсказать что с ним сделать?

  8. #7
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51
    Еще забыла - при начале сканирования ComboFix выскакивает сообщение: "PEV.cfxxe - обнаружена ошибка. Приложение будет закрыто".

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\HHVcdV6Sys\VC6SecS.exe','');
     DeleteService('VC6SecS');
     DeleteFile('C:\Program Files\HHVcdV6Sys\VC6SecS.exe');
     DeleteFileMask('C:\Program Files\HHVcdV6Sys', '*.*', true);
     DeleteDirectory('C:\Program Files\HHVcdV6Sys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Virtual CD v6 Management Service','EventMessageFile');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - попробуйте еще раз сделать лог Combofix

  10. #9
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51
    Отправляю логи.
    При попытке отправить карантин, мне пишут: "Ошибка загрузки. Данный файл уже был загружен"

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите ComboFix

    Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51
    Все ОК! Спасибо вам огромное!

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51
    Вот сейчас еще заметила, что после всех манипуляций на диске С появились папки FOUND.000-FOUND.003, ComboFix, на диске D - Config.Msi, папка "ce1cdbd3ad860402cfddf9f24cabb6" - пустая, но удаляться не хочет, говорит, что занята каким-то процессом. Что с ними сделать?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    FOUND.000-FOUND.003 - посмотрите, что внутри, там может быть интересное.
    Config.Msi, папка "ce1cdbd3ad860402cfddf9f24cabb6" - пусть себе живут, они служебные. Вторая от установки обновлений, должна была бы удалиться сама, видно, что-то помешало.

  16. #15
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51
    В папках FOUND.000-FOUND.003 находятся файлы FILE0000.CHK, FILE0001.CHK, FILE0002.CHK и т.д. При попытке открыть их вылазит сообщение: "Попытка открыть файл типа "Восстановленные фрагменты файлов" (.CHK). Эти файлы обычно используются ОС и программами. Их изменение может повредить систему". Далее предлагается выбрать программу, с помощью которой я хочу открыть эти файлы.

    Что со всем этим добром делать? Можно их удалить, а то их присутствие на диске С как-то напрягает, я люблю чтобы порядок был!

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Можно и удалить, это давно потерянные данные.

  18. #17
    Junior Member Репутация
    Регистрация
    28.06.2010
    Сообщений
    22
    Вес репутации
    51
    ОК!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 32
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Noyaba, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 09.11.2010, 20:23
    2. Ответов: 7
      Последнее сообщение: 06.10.2010, 18:34
    3. Ответов: 8
      Последнее сообщение: 30.09.2010, 06:56
    4. Ответов: 0
      Последнее сообщение: 24.08.2010, 11:33
    5. Ответов: 8
      Последнее сообщение: 05.08.2010, 18:49

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00997 seconds with 19 queries