Показано с 1 по 16 из 16.

Ошибка services.exe с кодом 1073741795 (заявка № 86471)

  1. #1
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    254
    Вес репутации
    55

    Exclamation Ошибка services.exe с кодом 1073741795

    После некоторой по продолжительности работы системы вылазит сообщение: "Неожиданно завершен системный процесс"C:\WINDOWS\system32
    "C:\WINDOWS\system32\services.exe" с кодом состояния - 1073741795 . Будет произведена перезагрузка системы." Так повторялось несколько раз пока я не решил проверить на вирусы. Свежескачанный cure it! обнаружил кучу вирусов, среди которых были:
    sfcfiles.dll
    kvndfh.exe
    fxvpbo.exe
    flmhju.exe
    decd2bdf.exe
    fjhdyfhsn.bat
    Компьютер перезагружался на середине процесса проверки.
    Сделал стандартные скрипты:
    Последний раз редактировалось webdesigner; 26.11.2010 в 15:34.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по gyhxw и выберите "Turn Run Off". Перезагрузку подтвердите.

    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\WINDOWS\system32\fxvpbo.exe','');
     QuarantineFile('C:\WINDOWS\system32\decd2bdf.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys','');
     DeleteService('cpuz132');
     QuarantineFile('C:\WINDOWS\system32\Drivers\gyhxw.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\gyhxw.sys');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys');
     DeleteFile('C:\WINDOWS\system32\decd2bdf.exe');
     DeleteFile('C:\WINDOWS\system32\fxvpbo.exe');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  4. #3
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    254
    Вес репутации
    55
    сделано:
    Файл сохранён как 100826_223855_quarantine_4c76b4bf2b1d5.zip
    Размер файла 565013
    MD5 4e0865a29b7d3135777e2e006f657d37
    Последний раз редактировалось webdesigner; 26.11.2010 в 15:34.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - выполните такой скрипт
    Код:
    begin
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  6. #5
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    254
    Вес репутации
    55
    Похоже стоит какое-то ограничение на кол-во загруженных карантинов:
    Ошибка загрузки. Данный файл уже был загружен

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
    QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\mssfc.dll','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     DeleteFile('%windir%\system32\mssfc.dll');
     RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
     if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
          begin
           CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
           AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
           SaveLog('sfcfiles.log');
          end
         else
          begin
           AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
           SaveLog('sfcfiles.log');
           if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
             begin
              if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                begin
                 CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                 AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 SaveLog('sfcfiles.log');
                end
               else 
                begin
                 AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                 SaveLog('sfcfiles.log');
                end;
             end
            else
             begin
              AddToLog('Файл sfcfiles.dll отсутствует в i386');
              SaveLog('sfcfiles.log');
             end;
          end;
       end
      else
       begin
        AddToLog('Файл sfcfiles.dll отсутствует в кеше');
        SaveLog('sfcfiles.log');
        if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
          begin
           if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
             begin
              CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
              AddToLog('Замена sfcfiles.dll успешно произведена из i386');
              SaveLog('sfcfiles.log');
             end
           else 
            begin
              AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
              SaveLog('sfcfiles.log');
            end;
          end
         else
          begin
           AddToLog('Файл sfcfiles.dll отсутствует в i386');
           SaveLog('sfcfiles.log');
          end;  
       end;
     DeleteFile('%windir%\system32\sfcfiles.bak');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог RSIT
    - файл sfcfiles.log прикрепите к сообщению

  8. #7
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    254
    Вес репутации
    55
    Файл сохранён как 100826_230202_quarantine_4c76ba2a3b422.zip
    Размер файла 1170
    MD5 424af174595fa8c1d89f3cfba589e3e3
    Последний раз редактировалось webdesigner; 26.11.2010 в 15:35.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    В логах подозрительного нет.

    Обновите систему
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

    После обновления:
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    На этом можно считать лечение законченным.

  10. #9
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    254
    Вес репутации
    55
    Спасибо!

  11. #10
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    254
    Вес репутации
    55
    Поставил все обновления Microsoft, но что-то комп стал тормозить сильнее чем ранее даже. Сегодня еще вылезла ошибка приложения svchost.exe Неужто не всех вирусов удалили ?
    Некий файл wnjxpp.exe находящийся в C:\WINDOWS\system32 меня смущает, google по нему ничего не выдал кроме его производителя - BitDefender, который производит бесплатный онлайн-сканер вирусов.
    Последний раз редактировалось webdesigner; 27.08.2010 в 20:54.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    - Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

  13. #12
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    254
    Вес репутации
    55
    Предварительно просканировал свежим cure it! и мои опасения оказались ненапрасными, было найдено 2 трояна. Надеюсь что в логах уже чисто!
    Последний раз редактировалось webdesigner; 26.11.2010 в 15:34.

  14. #13
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    254
    Вес репутации
    55
    Как логи ?

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от webdesigner Посмотреть сообщение
    Как логи ?
    В логах чисто.

  16. #15
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    254
    Вес репутации
    55
    ok, спасибо!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.caz ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4672676, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
      2. c:\\windows\\system32\\drivers\\gyhxw.sys - Rootkit.Win32.Agent.biiu ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )


  • Уважаемый(ая) webdesigner, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 28.06.2012, 12:41
    2. Ответов: 11
      Последнее сообщение: 12.10.2010, 01:54
    3. Ответов: 8
      Последнее сообщение: 30.09.2010, 06:56
    4. Ответов: 10
      Последнее сообщение: 02.06.2010, 08:40
    5. Ответов: 4
      Последнее сообщение: 30.04.2010, 19:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00341 seconds with 19 queries