-
Junior Member
- Вес репутации
- 53
ошибка services.exe и перезагрузка компьютера
Всех приветствую!
Столкнулся сегодня с такой проблемой: сразу после загрузки Винда Виста СП2 выскакивает сообщение об ошибке services.exe и уведомление, что через минуту компьютер будет перезагружен, срочно закругляйтесь. Нормально загружается и работает только в безопасном режиме, соответственно нормальные логи AVZ не сделать 
Теперь об истории болезни:
Началось с того, что нужно было сменить файловую систему внешнего харда и с этой целью были установлены сначала Norton Partition Magic, который на Висте даже не пошел, а затем Acronis Disk Director Suite. Собственно в Акронисе я и начал делать смену файловой системы, на что он попросил перезагрузиться. Перезагрузился - результат описан выше. То есть проблема точно возникла именно после установки этих 2-х программ. Сразу же после этого загрузился в Safe Mode и нашел в папке windows\system32\drivers файл snapman.sys (который ставит Acronis, как потом выяснилось), который, по-глупости, благополучно удалил, т.к. время возникновения проблемы соответствовало, да и имя файла показалось весьма подозрительным. После его удаления Windows перестал грузиться вообще, выдавая синий экран смерти даже в safe mode. Путем отката системы на точку установки Norton Partition Magic был достигнут предыдущий рубеж. Удалил в реестре все упоминания о Acronis и Snapman, но делу это, увы, не помогло.
Далее, следуя инструкциям отсюда, в safe mode сделал логи AVZ для безопасного режима и HiJackThis, которые и выкладываю. Минидампы, после чистки папки и попытки загрузиться обычно, не появились. В журнале помимо ошибки services.exe еще немало других ошибок. Их записать забыл, но если нужно - обязательно отпишу подробно.
Такие дела...
Очень надеюсь на Вашу помощь, господа эксперты! 
Последний раз редактировалось zakkman; 26.09.2010 в 17:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\bcce1257.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\system32\wogdksc.dll','');
QuarantineFile('C:\Windows\system32\bcce1257.exe','');
DeleteFile('C:\Windows\system32\bcce1257.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 53
Отправил карантин.
Теперь в обычном режиме компьютер дает поработать минут 10-15.
Я это время зря не терял и сделал в AVZ "Скрипт сбора информации для раздела "Помогите!" virusinfo.info".(файл virusinfo_syscheck.zip)
К сожалению, "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" (файл virusinfo_syscure.zip) сделать не удается, т.к. окончить процесс AVZ не успевает за это время =((
Если еще нужно, то virusinfo_syscheck.zip прилепил к первому сообщению в теме.
Последний раз редактировалось zakkman; 26.09.2010 в 17:57.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O20 - AppInit_DLLs: C:\Windows\system32\wogdksc.dll
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Windows\system32\wogdksc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 53
прошу прощения за тупизну, но какие конкретно логи нужно повторить?
которые через safe mode или же через обычную загрузку???
-
Лучше в обычном режиме, если в обычный зайти не получится - тогда в safe mode
-
-
Junior Member
- Вес репутации
- 53
Логично, мог бы и сам догадаться)))
В обычном режиме уже больше часа полёт нормальный, даже "Скрипт лечения/карантина и сбора информации" сделал.
Похоже, что дело было в wogdksc.dll. Что это хоть такое за бяка? Пока из-за компа не ухожу, попозже отпишу, побороли гадость или нет.
Вот логи.
-
Выполните скрипт в AVZ:
Код:
begin
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
BC_DeleteSvc('K4hostEL');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Больше ничего плохого не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\bcce1257.exe - Backdoor.Win32.Shiz.vy ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\wogdksc.dll - Trojan-Spy.Win32.Ardamax.imi ( DrWEB: Trojan.Siggen1.64030, BitDefender: Gen:Variant.Feedel.2, NOD32: Win32/Spy.Hookit.C trojan, AVAST4: Win32:Ardamax-PK [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-
