При загрузке Windows, рестарт после экрана приветствия
Полечил от вирусов, и теперь после экрана приветствия перезагружается. Иногда с 10 раза удается загрузиться. Также при выключении часто выскакивает ошибка STOP:0x00000019(0x00000020,0xE1498000,0xE149828,0x 0c10200) BAD_POOL_HEADER.
Посмотрите логи пожалуйста.
Последний раз редактировалось Dolgih i; 03.11.2010 в 11:07.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Удивительно что она вообще еще загружается. Тут целый зоопарк. Выполните скрипт
После перезагрузки выполните второй скриптКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\27.scr',''); QuarantineFile('C:\WINDOWS\system32\47.scr',''); QuarantineFile('C:\WINDOWS\system32\system.exe',''); QuarantineFile('C:\WINDOWS\system32\itcadvapi.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\XCrypt10.ocx',''); QuarantineFile('c:\windows\system32\svchost.exe',''); QuarantineFile('csbdll.dll',''); QuarantineFile('C:\WINDOWS\system32\zyquefubou.exe',''); QuarantineFile('C:\WINDOWS\system32\ziwoquub.exe',''); QuarantineFile('C:\WINDOWS\system32\zahyzos.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\system32\loroubac.exe',''); QuarantineFile('C:\WINDOWS\system32\loojuqu.exe',''); QuarantineFile('C:\WINDOWS\system32\koukobobyc.exe',''); QuarantineFile('C:\WINDOWS\system32\itcssp.dll',''); QuarantineFile('C:\WINDOWS\system32\QASbcKDlkvg.dll',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3091199524-7458011847-412269310-6391\yv8g67.exe,C:\RECYCLER\S-1-5-21-4056718751-0510617546-671414887-8380\yv8g67.exe,C:\RECYCLER\S-1-5-21-4833865677-9152238688-104747715-6574\yv8g67.exe,C:\RECYCLER\S-1-5-21-4873884379-0970966926-781795719-5819\yv8g67.exe,C:\RECYCLER\S-1-5-21-1975888611-7103606427-389737085-1700\yv8g67.exe,C:\RECYCLER\S-1-5-21-9988580441-1341761096-891391804-1582\yv8g67.exe,C:\RECYCLER\S-1-5-21-1381989723-7581347384-058304798-8632\yv8g67.exe,C:\Documents and Settings\user\msgvn.exe,C:\Documents and Settings\user\Application Data\qmkin.exe,C:\Documents and Settings\user\Application Data\yftza.exe,explorer.exe,C:\Documents and Settings\user\Application Data\yjty.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\ueukcv.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\vajoofygu.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\cbss.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\zdypnofu.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\shqgvbngq.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\shqgvbng.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\qhejvknn.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\pdujtdibr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\pdujtdib.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\onitapvs.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\lsstart.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\krn.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\bzmlnuprq.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\bzmlnupr.sys',''); QuarantineFile('C:\WINDOWS\system32\civijar.exe',''); QuarantineFile('C:\WINDOWS\system32\voofok.exe',''); QuarantineFile('C:\WINDOWS\system32\badicyroul.exe',''); DeleteService('krn'); DeleteService('lsstart'); DeleteService('onitapvs'); DeleteService('pdujtdib'); DeleteService('perc2'); DeleteService('qhejvknn'); DeleteService('shqgvbng'); DeleteService('shqgvbngq'); DeleteService('bzmlnuprq'); DeleteService('bzmlnupr'); DeleteService('zdypnofu'); DeleteService('gioakkehyl'); DeleteService('cbhoqiacpos6y8'); DeleteService('a94vc4q2z3'); DeleteFile('C:\WINDOWS\system32\badicyroul.exe'); DeleteFile('C:\WINDOWS\system32\voofok.exe'); DeleteFile('C:\WINDOWS\system32\civijar.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\bzmlnupr.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\bzmlnuprq.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\krn.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\lsstart.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\onitapvs.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\pdujtdib.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\pdujtdibr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\qhejvknn.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\shqgvbng.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\shqgvbngq.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\zdypnofu.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\cbss.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg','DLLName'); DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\vajoofygu.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','bubouquot'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','bubouquot'); DeleteFile('C:\Documents and Settings\NetworkService\ueukcv.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); DeleteFile('C:\RECYCLER\S-1-5-21-3091199524-7458011847-412269310-6391\yv8g67.exe,C:\RECYCLER\S-1-5-21-4056718751-0510617546-671414887-8380\yv8g67.exe,C:\RECYCLER\S-1-5-21-4833865677-9152238688-104747715-6574\yv8g67.exe,C:\RECYCLER\S-1-5-21-4873884379-0970966926-781795719-5819\yv8g67.exe,C:\RECYCLER\S-1-5-21-1975888611-7103606427-389737085-1700\yv8g67.exe,C:\RECYCLER\S-1-5-21-9988580441-1341761096-891391804-1582\yv8g67.exe,C:\RECYCLER\S-1-5-21-1381989723-7581347384-058304798-8632\yv8g67.exe,C:\Documents and Settings\user\msgvn.exe,C:\Documents and Settings\user\Application Data\qmkin.exe,C:\Documents and Settings\user\Application Data\yftza.exe,explorer.exe,C:\Documents and Settings\user\Application Data\yjty.exe'); DeleteFile('C:\WINDOWS\system32\QASbcKDlkvg.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ufad-dns60\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\koukobobyc.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','jyjoo'); DeleteFile('C:\WINDOWS\system32\loojuqu.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','kuhicyp'); DeleteFile('C:\WINDOWS\system32\loroubac.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','koowyk'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); DeleteFile('C:\WINDOWS\system32\zahyzos.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','quougeg'); DeleteFile('C:\WINDOWS\system32\ziwoquub.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','loquoocig'); DeleteFile('C:\WINDOWS\system32\zyquefubou.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','gomocor'); DeleteFile('csbdll.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\csbdll','DLLName'); DeleteFile('C:\WINDOWS\system32\itcadvapi.dll'); DeleteFile('C:\WINDOWS\system32\system.exe'); DeleteFile('C:\WINDOWS\system32\47.scr'); DeleteFile('C:\WINDOWS\system32\27.scr'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 2, true); ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
Закачайте полученный карантин по красной ссылке вверху. Повторите логиКод:Begin CreateQurantineArchive('C:\quarantine.zip'); End.
The Truth is Out There
Карантин закачал. Логи если получится позже выложу, не удается пока загрузить ОС, перегружаться стал и с рабочего стола.
В безопасном режиме загружается нормально? Если да, сделайте логи AVZ в безопасном режиме и продолжим
The Truth is Out There
В безопасном режиме также перегружается. Логи сделал.
Последний раз редактировалось Dolgih i; 03.11.2010 в 11:07.
Выполните скрипт
После перезагрузки выполните второй скриптКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\drivers\vdexnjq4.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\usbf34.sys',''); QuarantineFile(''C:\WINDOWS\system32\CtDrvInsAll.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\vdexnjq4.sys'); DeleteFile(''C:\WINDOWS\system32\CtDrvInsAll.exe'); DeleteService('zdypnofur'); DeleteService('usbf34'); DeleteService('AsyncMacq'); DeleteService('protect'); DeleteFile('C:\WINDOWS\system32\itcadvapi.dll'); DeleteFile('C:\WINDOWS\system32\itcssp.dll'); DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\AsyncMacq.sys'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); DeleteFile(''C:\WINDOWS\system32\drivers\usbf34.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\zdypnofur.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(9); ExecuteRepair(13); RebootWindows(true); end.
Карантин закачайте, логи АВЗ повторите. Отключите автоматическую перезагрузку ( Мой компьютер - Свойства - Дополнительно - Загрузка и восстановление - Параметры - В открывшимся окне убираем галочку напротив «Выполнить автоматическую перезагрузку» и нажимаем «ОК» ). Теперь компьютер не будет перезагружаться, а в случае ошибок - будет выпадать синий экран. Код ошибки вида 0х00000... запишитеКод:Begin CreateQurantineArchive('C:\quarantine.zip'); End.
The Truth is Out There
При попытке выполнить скрипт - ошибка ")" expected в позиции 7:19
выполняйте
Код:begin SearchRootkit(true,true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\drivers\vdexnjq4.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\usbf34.sys',''); QuarantineFile('C:\WINDOWS\system32\CtDrvInsAll.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\vdexnjq4.sys'); DeleteFile('C:\WINDOWS\system32\CtDrvInsAll.exe'); DeleteService('zdypnofur'); DeleteService('usbf34'); DeleteService('AsyncMacq'); DeleteService('protect'); DeleteFile('C:\WINDOWS\system32\itcadvapi.dll'); DeleteFile('C:\WINDOWS\system32\itcssp.dll'); DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\AsyncMacq.sys'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\drivers\usbf34.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\zdypnofur.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(9); ExecuteRepair(13); RebootWindows(true); end.
Выполнил. Поставил автоматически перегружаться каждые 30 секунд, минут 20 всё нормально. Большое Вам спасибо.
Последний раз редактировалось Dolgih i; 03.11.2010 в 11:07.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('srservice'); DeleteFile('srservice.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('srservice.sys'); BC_DeleteSvc('srservice'); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Сделано.
Последний раз редактировалось Dolgih i; 03.11.2010 в 11:07.
В логе подозрительного нет.
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Спасибо все кто помогал. Работает как часики
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 53
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\networkservice\\application data\\microsoft\\vajoofygu.exe - Trojan.Win32.Agent2.lnt ( DrWEB: Trojan.WinSpy.718, BitDefender: Trojan.Generic.4675475, AVAST4: Win32:Agent-AISC [Trj] )
- c:\\windows\\system32\\drivers\\atapidrv.sys - Rootkit.Win32.Agent.blls ( DrWEB: Trojan.Packed.140, BitDefender: Trojan.Fakealert.16212, AVAST4: Win32:FakeAV-ANE [Rtk] )
- c:\\windows\\system32\\system.exe - Trojan.MSIL.Spammer.a ( DrWEB: Trojan.Spambot.9598, BitDefender: Trojan.Generic.5299120, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\27.scr - Trojan.Win32.VB.ajmj ( DrWEB: BackDoor.IRC.Bot.257, BitDefender: Trojan.Agent.AOYR, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\47.scr - Trojan.Win32.Buzus.febt ( DrWEB: BackDoor.IRC.Bot.366, BitDefender: Backdoor.Tofsee.Gen, NOD32: Win32/Injector.BMP trojan, AVAST4: Win32:Flot-J [Trj] )
Уважаемый(ая) Dolgih i, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
