Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не запускался XP. Синий экран (STOP: c000021a и т.д.) Есть подозр. файлы (http://forum.oszone.net/showthread.php?t=118774)

zonet 01-10-2008 09:27 913096
Не запускался XP. Синий экран (STOP: c000021a и т.д.) Есть подозр. файлы
 
Описываю свою проблему:
1) Показалось, что у ПК сократились свбодные ресурсы (будто какое-то приложение использует все ресурсы ЦП), чтобы проверить нажал Ctrl+Alt+Del, система выдала ошибку с белым крестиком на красном фоне (ну знаете наверно, в левом углу)
2) Закрыл все окна Internet Explorer
3)Нажал перезагрузить ПК
4) После этого получил сообщение - синий экран (см. вложенный рисунок)

Что еще могу отметить - Безопасный режим работает, без ошибок.
Восстановил систему через точку восстановления - все проверил, прикрепляю логи.

Vadikan 01-10-2008 09:33 913101
Pili, если заражения нет, после вынесения вердикта тему можно закрыть, т.к. обсуждение тогда нужно вести в http://forum.oszone.net/thread-82306.html

iskander-k 01-10-2008 09:40 913107
По ошибке
http://support.microsoft.com/kb/156669/ru и более свежая статья на английском http://support.microsoft.com/kb/922410/en-us

Pili 01-10-2008 10:16 913135
zonet, деинсталлируйте viewpoint через установку/удаление программ
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Viewpoint Manager Service', 4);
 SetServiceStart('Winfm63', 4);
 QuarantineFile('c:\program files\viewpoint\common\viewpointservice.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfm63.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfm63.sys');
 DeleteFile('c:\program files\viewpoint\common\viewpointservice.exe');
 DeleteService('Viewpoint Manager Service');
 DeleteService('Winfm63');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winfm63');
BC_Activate;
RebootWindows(true);
end.
Удалите Bonjour Service см. здесь или здесь
Повторите логи.

zonet 01-10-2008 12:11 913212
Pili, сделал все как учили.
Повторяю логи

Pili 01-10-2008 13:03 913262
zonet, чисто. Проблемы ещё наблюдаются?

zonet 01-10-2008 13:22 913274
Pili - нет, сейчас все в порядке. Вы считаете что синий экран вызвали вирусы?
Мне кажется, что проблема решилась в результате восстановления системы до более ранней даты. А борьба с вирусами тут, вроде, не причем?

Pili 01-10-2008 13:32 913280
zonet, Winfm63.sys зловред, о viewpointservice можете посмотреть здесь или здесь
Выполнитe в AVZ ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru

zonet 03-10-2008 09:26 914769
Pili, файл на user15802[at]mail.ru выслал

Pili 03-10-2008 10:22 914826
zonet, к сожалению в карантине нет Winfm63.sys и viewpointservice.exe, судя по ini файлам их уже нет и физически на диске, A0003221.exe - not-a-virus:AdTool.Win32.BitAccelerator.m по Касперскому, уже удален DrWeb, остальные чистые.

zonet 03-10-2008 11:15 914871
Pili, так и должно быть, мне же было порекоммендовано удалить viewpoint.

Pili 03-10-2008 11:31 914888
zonet, да, но Winfm63.sys или не захотел в карантин или от него осталось только упоминание в реестре (убрали скриптом, файл, даже если он был - удалился)


Время: 02:14.

Время: 02:14.
© OSzone.net 2001-