Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] BSOD при завершении работы системы (http://forum.oszone.net/showthread.php?t=175791)

ezen 16-05-2010 07:12 1414304
BSOD при завершении работы системы
 
Вложений: 1
Проблема такая: при попытке перезагрузить или выключить компьютер появляется BSOD с таким текстом:
0X0000008E(0XC0000005,0X8064AE4D,0XB5A52B44,0X00000000)
пробовал запуститься в безопасном режиме но он не загружается (висит просто черный экран с мигающим _ )
Очень не хотелось бы переустанавливать систему, надеюсь на вашу помощь

Drongo 16-05-2010 10:43 1414360
ezen, Выполните рекомендации

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,\\?\globalroot\systemroot\system32\5boSO8W.exe,\\?\globalroot\systemroot\system32\tRcHFLJ.exe,
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\trchflj.exe','');
 QuarantineFile('c:\windows\system32\drivers\sfc.sys','');
 DeleteFile('\\?\globalroot\systemroot\system32\trchflj.exe');
 DeleteFile('c:\windows\system32\drivers\sfc.sys');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

ezen 16-05-2010 10:49 1414362
После выполнения этого скрипта в AVZ голубой экран смерти уже не будет появляться при перезагрузке?

Drongo 16-05-2010 11:03 1414369
Цитата:
Цитата ezen
После выполнения этого скрипта в AVZ голубой экран смерти уже не будет появляться при перезагрузке? »
Нет, да вы собственно ничего не теряете, выполняйте скрипт. Хуже чем есть, не будет, более того, этот BSOD давал вирь с именем sfc.sys. Мы его удаляем.

ezen 16-05-2010 11:43 1414382
Цитата:
Цитата Drongo
напишите пароль на архив "virus" (без кавычек) »
архив должен быть запаролен?

Drongo 16-05-2010 12:03 1414397
ezen, ахрив и так запаролен, он создаётся с паролем virus. Вам нужно при отправке карантина написать, что пароль на отсылаемый архив - virus.

ezen 16-05-2010 12:24 1414407
Вредоносный код в файле не обнаружен.

Drongo 16-05-2010 12:47 1414423
ezen, Ну а что с BSOD'ами? Больше не беспокоят?

ezen 16-05-2010 12:53 1414430
беспокоят
последний раз пытался перезагрузиться после выполнения скрипта в AVZ и все было без изменений

iskander-k 16-05-2010 13:40 1414462
• Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 SetAVZGuardStatus(True);
SearchRootkit(true, true);
 SetServiceStart('krnllds', 4);
 StopService('krnllds');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\system32\comca.dll','');
 QuarantineFile('ibuntu.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\tRcHFLJ.exe','');
 QuarantineFile('C:\WINDOWS\system32\krnllds.sys','');
  DeleteFile('C:\WINDOWS\system32\krnllds.sys');
 DeleteFile('\\?\globalroot\systemroot\system32\tRcHFLJ.exe');
 DeleteFile('ibuntu.dll');
 DeleteFile('C:\WINDOWS\system32\comca.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DelBHO('{B5DD9986-22C4-49AD-9713-196EC17FB503}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('krnllds');
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

И сделайте новые логи.

ezen 16-05-2010 14:39 1414498
Цитата:
Цитата iskander-k
Скачайте ERUNT, установите и запустите, выберите папку для сохранения »
какую папку выбирать это принципиально?

iskander-k 16-05-2010 14:59 1414509
Цитата:
Цитата ezen
какую папку выбирать это принципиально? »
Можете выбрать любую и любое место- где вы потом можете свободно получить доступ его восстановить(если понадобится) .

ezen 16-05-2010 15:00 1414510
Вложений: 1
Цитата:
bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, bcqr00009.ini, bcqr00010.ini Файлы в процессе обработки.
вот что мне ответили на запрос
после выполнения скрипта в AVZ компьютер нормально перезагрузился!
новые логи:

Drongo 16-05-2010 15:22 1414521
Обязательно выполните этот скрипт

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\sfc.sys','');
 DeleteFile('c:\windows\system32\drivers\sfc.sys');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

ezen 16-05-2010 15:30 1414523
после скрипта компьютер опять выдал BSOD
по запросу все без изменений:
bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini

Файлы в процессе обработки.

thyrex 16-05-2010 15:37 1414530
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

ezen 16-05-2010 16:16 1414549
два раза запускал comobofix
в первый раз он просто перезагрузил компьютер
во второй он написал что пытается восстановить какой-то зараженный системный файл но ничего не произошло
combofix.txt так и не появился, зато откуда-то появилась папка combofix, работающая как ярлык "Мой компьютер"
да и еще : после использования этой программы вдруг вылезло сообщение центра обеспечения безопастности Windows , хотя и брендмауэр, и автоматическое обновление было всегда отключено
Я пожалуй не рискну больше использовать сombofix..

ezen 16-05-2010 17:40 1414592
Может повторить то что предлагал iskander-k и BSOD опять перестанет появляться?

ezen 16-05-2010 19:01 1414630
Помогите кто-нибудь

Drongo 16-05-2010 19:08 1414634
ezen, то что давал iskander-k те файлы уже удалились, их нет по логу.

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

ezen 16-05-2010 19:11 1414636
я писал что безопасный режим не запускается
или сейчас он уже должен работать?

thyrex 16-05-2010 19:24 1414648
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.

Проверьте безопасный режим

ezen 16-05-2010 19:52 1414667
Код:
SDFix: Version 1.240
Run by Ђ¤¬Ё*Ёбва*в®а on 16.05.2010 at 19:42

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting



Checking Files :

Trojan Files Found:

C:\Documents and Settings\LocalService\Application Data\twain_32\user.ds - Deleted
C:\WINDOWS\system32\svchost.t__ - Deleted



Folder C:\Documents and Settings\LocalService\Application Data\twain_32 - Removed


Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-16 19:49:57
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Documents and Settings\\Андрей\\Мои документы\\Warcraft III\\Warcraft III.exe"="C:\\Documents and Settings\\Андрей\\Мои документы\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"E:\\Фёдор\\GAMES\\LoL\\Riot Games\\League of Legends\\air\\LolClient.exe"="E:\\Фёдор\\GAMES\\LoL\\Riot Games\\League of Legends\\air\\LolClient.exe:*:Enabled:League of Legends Lobby"
"E:\\Фёдор\\GAMES\\LoL\\Riot Games\\League of Legends\\game\\League of Legends.exe"="E:\\Фёдор\\GAMES\\LoL\\Riot Games\\League of Legends\\game\\League of Legends.exe:*:Enabled:League of Legends Game Client"
"C:\\Program Files\\Mail.Ru\\Sputnik\\SputnikFlashPlayer.exe"="C:\\Program Files\\Mail.Ru\\Sputnik\\SputnikFlashPlayer.exe:*:Enabled:Sputnik@Mail.Ru flash player"
"C:\\Program Files\\Mail.Ru\\Sputnik\\SputnikHelper.exe"="C:\\Program Files\\Mail.Ru\\Sputnik\\SputnikHelper.exe:*:Enabled:Sputnik@Mail.Ru helper object"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed  5 May 1999        95,202 ..SH. --- "C:\COMMAND.COM"
Sun 30 Nov 2003            0 ..SH. --- "C:\LOGO.SYS"

Finished!

Drongo 16-05-2010 20:03 1414677
ezen, Два файла было удалено ещё, судя по логу. Проверьте компьютер утилитой CureIT или Kaspersky Virus Removal Tool

thyrex 16-05-2010 20:06 1414681
А также

Временно деинсталлируйте Daemon Tools и попробуйте сделать лог ComboFix

ezen 17-05-2010 20:19 1415401
Все работает! Спасибо вам огромное, не в первый раз уже помогаете


Время: 23:43.

Время: 23:43.
© OSzone.net 2001-