Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] winlogon. exe - ошибка приложения (http://forum.oszone.net/showthread.php?t=98044)

loedrive 14-01-2008 04:20 716088
[решено] winlogon. exe - ошибка приложения
 
ноутбук HP 530 виндовс XP pro SP 2
совсем новый, а ошибки не дают работать. за 2 недели 5 синих экранов. приходилось бэк-апить на акронисе до первоначального состояния, т.е без софта ещё. вроде уже неделю без синих экранов, но осталась ошибка, которая была почти с самого начала :
winlogon. exe - ошибка приложения. инструкция по адресу "0x0102d9c2" обратилась к памяти по адресу"0x0102d9c2" память не может быть " written"
помогите! что означает эта ошибка и как с ней бороться?
ошибка возникает при запуске системы один раз на два три запуска, но сейчас стала появляться всё чаще. я в отчаянии

Pili 14-01-2008 08:05 716124
loedrive, на вирусы проверялись?
- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.
- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

loedrive 14-01-2008 20:58 716863
всё сделано как вы говорили.вот мои результаты:
лог hijackthis пришлось зазиповать, потому что в текстовом документе не хотел добавляться.
помогите решить проблему :unsure:

Pili 14-01-2008 21:22 716880
Выполните в AVZ скрипт
Цитата:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\antiwpa.dll','');
DeleteFile('C:\WINDOWS\system32\antiwpa.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
после перезагрузки пофиксите в hijackthis
Цитата:
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
странно, ноут новый (недавно такой же лечил), а винда пиратка, д.б. вместе с ноутом лиц. идти.
и ещё
Цитата:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
что из этого не нужно?

Petya V4sechkin 14-01-2008 21:23 716882
loedrive, предполагаю, что причина ваших бед:
Цитата:
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
Аналогичная тема:
http://forum.oszone.net/thread-83909.html

loedrive 14-01-2008 23:21 716963
скрипт выполнен, antiwpa.dll пофиксен. уже 4 ребута (2 во время "лечения" и 2 по собственной инициативе в качестве проверки) пережито - пока полёт нормальный. )))
Цитата:
Цитата Pili
что из этого не нужно? »
Цитата:
Цитата Pili
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя »
легче ответить что нужно. а нужно только :
>> Безопасность: разрешен автозапуск программ с CDROM
Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
а вот от остального хотелось бы безболезненно избавиться, но чтоб без ошибок потом было.)

Pili 14-01-2008 23:29 716967
loedrive, выполните скрипт
Цитата:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
Если за комп. не один пользователь и требуется оставить быстрое переключение пользователей, можно убрать из скрипта
Цитата:
SetServiceStart('TermService', 4);


Время: 18:10.

Время: 18:10.
© OSzone.net 2001-