[решено] BSOD при выключении или перезагрузке компютера

Drongo · Конфигурация компьютера

Вы кладёте cleaup.bat в папку где находится t5nh1olb.exe ?

Цитата Arbitr:

cleanup.bat в ту же папку, где находится t5nh1olb.exe »

Pifcabe · Отправлено: **21:28, 05-09-2010** | #12

да,сразу туда положил после распаковки

Drongo · Конфигурация компьютера

Pifcabe, Тогда выполните в AVZ такой скрипт

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;

begin
BC_ServiceKill('mlycqk');
BC_Activate;
RebootWindows(true);
end.

Pifcabe · Отправлено: **21:38, 05-09-2010** | #14

сделал,что дальше??

Arbitr · Отправлено: **21:57, 05-09-2010** | #15

повторите логи AVZ + RSIT

Pifcabe · Отправлено: **22:25, 05-09-2010** | #16

Вот пожалуйста,все сделал!

Arbitr · Отправлено: **22:35, 05-09-2010** | #17

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
обновить ваш Winsp 2 до sp3 скачать и установить explorer 8 даже если вы им и не пользуетесь

Pifcabe · mbam-log-2010-09-06 (14-53-19).rar

Вот все сделал,вчера времени уже небыло,сегодня сделал!

Arbitr · Отправлено: **15:02, 06-09-2010** | #19

удалить с помощью MBAM следующие стрчоки

Цитата:

Зараженные файлы:
C:\System Volume Information\_restore{23DE80FA-94B6-4C04-9C55-E836E758A020}\RP302\A0128809.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{23DE80FA-94B6-4C04-9C55-E836E758A020}\RP302\A0128811.exe (Trojan.Agent) -> No action taken.

напоминаю вам необходимо обновить win до sp3 и ускачать установить explorer 8

Pifcabe · Отправлено: **15:06, 06-09-2010** | #20

Их можно удалить прям сразу после сканирования да? там есть пункт удалить выбранные объекты.А остальные 2 это что такое? определяются как трояны тоже.Их можно не удалять?