Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] BSOD при выключении или перезагрузке компютера (http://forum.oszone.net/showthread.php?t=184656)

Pifcabe 05-09-2010 02:06 1488779
BSOD при выключении или перезагрузке компютера
 
Вложений: 2
Добрых времени суток!
Со вчерашнего дня появились БСОДы при выключении или перезагрузке.Проверив дамп с помощью программы BlueScreenView,обнаружил что БСОД появляется благодаря файлам ntoskrnl.exe и sfc.SYS.Что интересно второго файла поисковик не находит,но дампы при каждом БСОДе указывают на этот файл.НОД32 вирусов не обнаружил.
Код ошибки во время синьки:0х0000008Е (0хС0000005, 0хE0018E4D, 0xBF79EAEC, 0x00000000).Проверял так же оперативку и на всякий случай видео карту, все в порядке (вычитал что код 0х...8Е связан с памятью РАМ). Перегревов небыло совершенно точно,так как пользуюсь программой Core Temp, температура ядер была не выше 35 градусов.Ну и никаких внешних повреждений или дефектов на материнке,оперативке и видеокарте не обнаружено.

Если нужна еще какая то информация ,дайте знать. (желательно сразу с инструкцией как эту информацию вам предоставить,чтобы не тратить времени)

Aleksandra 05-09-2010 02:09 1488780
http://forum.oszone.net/thread-98169.html

Pifcabe 05-09-2010 14:43 1488933
Все добавил выше.Надеюсь на вашу помощь!

Arbitr 05-09-2010 15:48 1488952
Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
повторите лог AVZ у вас syscure.zip пустой + лог RSIT
на время выполнения лога AVZ отключить ВСЕ!!! программы и антивирусное ПО

Pifcabe 05-09-2010 19:14 1489089
Вложений: 1
Вроде все сделал.Бсод пропал.А что еще за лог RSIT ?Что такое РСИТ ,и где ее найти!

Arbitr 05-09-2010 19:52 1489111
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится t5nh1olb.exe случайное имя утилиты (gmer)
Код:
t5nh1olb.exe -del service mlycqk
t5nh1olb.exe -del file "C:\WINDOWS\system32\kquyw.dll"
t5nh1olb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mlycqk"
t5nh1olb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mlycqk"
t5nh1olb.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

так же сделать лог AVZ скрипт №3

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

p/s/ Саша спасибо тебе!!!

Pifcabe 05-09-2010 20:18 1489130
У меня нету файла cleanup.bat.

Arbitr 05-09-2010 20:30 1489134
Цитата:
Цитата Pifcabe
У меня нету файла cleanup.bat. »
Цитата:
Цитата Arbitr
Сохраните приведённый ниже текст »
Цитата:
Цитата Arbitr
t5nh1olb.exe -del service mlycqk
t5nh1olb.exe -del file "C:\WINDOWS\system32\kquyw.dll"
t5nh1olb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mlycqk"
t5nh1olb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mlycqk"
t5nh1olb.exe -reboot »
Цитата:
Цитата Arbitr
в файл cleanup.bat »
Цитата:
Цитата Arbitr
в ту же папку, где находится t5nh1olb.exe случайное имя утилиты (gmer) »
Цитата:
Цитата Arbitr
И запустите сохранённый пакетный файл cleanup.bat. »

Arbitr 05-09-2010 20:33 1489136
Вложений: 1
вот он,
не забудьте сначала распаковать его а потом перенести

Pifcabe 05-09-2010 20:51 1489150
во время работы cleanup.bat происходят ошибки

t5nh1olb.exe -del service mlycqk неверно задан параметр
t5nh1olb.exe -del file "C:\WINDOWS\system32\kquyw.dll" не найден файл длл
t5nh1olb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mlycqk" неверно задан параметр
t5nh1olb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mlycqk"неверно задан параметр

Drongo 05-09-2010 21:17 1489170
Вы кладёте cleaup.bat в папку где находится t5nh1olb.exe ?
Цитата:
Цитата Arbitr
cleanup.bat в ту же папку, где находится t5nh1olb.exe »

Pifcabe 05-09-2010 21:28 1489182
да,сразу туда положил после распаковки

Drongo 05-09-2010 21:31 1489186
Pifcabe, Тогда выполните в AVZ такой скрипт

Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;                         
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                         
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
  KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                   
  if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                 
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then             
    Result := Result or 8;                 
  end;
  end;               
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;

begin
BC_ServiceKill('mlycqk');
BC_Activate;
RebootWindows(true);
end.

Pifcabe 05-09-2010 21:38 1489190
сделал,что дальше??

Arbitr 05-09-2010 21:57 1489211
повторите логи AVZ + RSIT

Pifcabe 05-09-2010 22:25 1489241
Вложений: 1
Вот пожалуйста,все сделал!

Arbitr 05-09-2010 22:35 1489246
HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) -  - (no file)
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
обновить ваш Winsp 2 до sp3 скачать и установить explorer 8 даже если вы им и не пользуетесь

Pifcabe 06-09-2010 14:55 1489616
Вложений: 1
Вот все сделал,вчера времени уже небыло,сегодня сделал!

Arbitr 06-09-2010 15:02 1489620
удалить с помощью MBAM следующие стрчоки
Цитата:
Зараженные файлы:
C:\System Volume Information\_restore{23DE80FA-94B6-4C04-9C55-E836E758A020}\RP302\A0128809.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{23DE80FA-94B6-4C04-9C55-E836E758A020}\RP302\A0128811.exe (Trojan.Agent) -> No action taken.
напоминаю вам необходимо обновить win до sp3 и ускачать установить explorer 8

Pifcabe 06-09-2010 15:06 1489624
Их можно удалить прям сразу после сканирования да? там есть пункт удалить выбранные объекты.А остальные 2 это что такое? определяются как трояны тоже.Их можно не удалять?

Arbitr 06-09-2010 15:12 1489627
Цитата:
Цитата Pifcabe
Их можно удалить прям сразу после сканирования да? там есть пункт удалить выбранные объекты. »
да именно так
дальнейшие строчки это ваши кейгены, MBAM любой кейген определяет как вирус..если они вам не нужны можете удалить и их
главное это обновления
Цитата:
Цитата Arbitr
напоминаю вам необходимо обновить win до sp3 и ускачать установить explorer 8 »

Pifcabe 06-09-2010 15:19 1489635
Ну с СП 3 все понятно,а зачем обязательно поставить эксплорер 8-ой??я им все равно не пользуюсь.

А ладно все поставлю,спасибо вам огромное ребята,без вас сегодня бы винду сноить пришлось со всеми файлами,а так все нормально пашет.Большущее спасибо!

Arbitr 06-09-2010 16:12 1489680
все дело в том что хоть вы ей и не пользуетесь как браузером, explorer все равно работает. как основной процесс, поэтому скачать и установить это обязательно

Pifcabe 06-09-2010 16:33 1489693
Понятно,спасибо за разъяснения!


Время: 16:55.

Время: 16:55.
© OSzone.net 2001-