-
Junior Member
- Вес репутации
- 55
Ошибка services.exe с кодом 1073741795
После некоторой по продолжительности работы системы вылазит сообщение: "Неожиданно завершен системный процесс"C:\WINDOWS\system32
"C:\WINDOWS\system32\services.exe" с кодом состояния - 1073741795 . Будет произведена перезагрузка системы." Так повторялось несколько раз пока я не решил проверить на вирусы. Свежескачанный cure it! обнаружил кучу вирусов, среди которых были:
sfcfiles.dll
kvndfh.exe
fxvpbo.exe
flmhju.exe
decd2bdf.exe
fjhdyfhsn.bat
Компьютер перезагружался на середине процесса проверки.
Сделал стандартные скрипты:
Последний раз редактировалось webdesigner; 26.11.2010 в 15:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по gyhxw и выберите "Turn Run Off". Перезагрузку подтвердите.
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\fxvpbo.exe','');
QuarantineFile('C:\WINDOWS\system32\decd2bdf.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys','');
DeleteService('cpuz132');
QuarantineFile('C:\WINDOWS\system32\Drivers\gyhxw.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\gyhxw.sys');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys');
DeleteFile('C:\WINDOWS\system32\decd2bdf.exe');
DeleteFile('C:\WINDOWS\system32\fxvpbo.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 55
сделано:
Файл сохранён как 100826_223855_quarantine_4c76b4bf2b1d5.zip
Размер файла 565013
MD5 4e0865a29b7d3135777e2e006f657d37
Последний раз редактировалось webdesigner; 26.11.2010 в 15:34.
-
- выполните такой скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 55
Похоже стоит какое-то ограничение на кол-во загруженных карантинов:
Ошибка загрузки. Данный файл уже был загружен
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
- файл sfcfiles.log прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 55
Файл сохранён как 100826_230202_quarantine_4c76ba2a3b422.zip
Размер файла 1170
MD5 424af174595fa8c1d89f3cfba589e3e3
Последний раз редактировалось webdesigner; 26.11.2010 в 15:35.
-
В логах подозрительного нет.
Обновите систему
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 55
-
Junior Member
- Вес репутации
- 55
Поставил все обновления Microsoft, но что-то комп стал тормозить сильнее чем ранее даже. Сегодня еще вылезла ошибка приложения svchost.exe Неужто не всех вирусов удалили ?
Некий файл wnjxpp.exe находящийся в C:\WINDOWS\system32 меня смущает, google по нему ничего не выдал кроме его производителя - BitDefender, который производит бесплатный онлайн-сканер вирусов.
Последний раз редактировалось webdesigner; 27.08.2010 в 20:54.
-
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 55
Предварительно просканировал свежим cure it! и мои опасения оказались ненапрасными, было найдено 2 трояна. Надеюсь что в логах уже чисто!
Последний раз редактировалось webdesigner; 26.11.2010 в 15:34.
-
Junior Member
- Вес репутации
- 55
-
Сообщение от
webdesigner
Как логи ?
В логах чисто.
-
-
Junior Member
- Вес репутации
- 55
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.caz ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4672676, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
- c:\\windows\\system32\\drivers\\gyhxw.sys - Rootkit.Win32.Agent.biiu ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )
-