BSOD при перезагрузке/выключении компьютера

Drongo · Конфигурация компьютера

hoku, Привет. Да, это вирус. Выполните такой скрипт. Предварительно вставьте в привод дистрибутив вашей копии Windows. Это нужно на тот случай если понадобится заменить заражённый системный файл.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
 if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
  begin   
    ExecuteFile('sfc /scannow', '', 1, 0, true);
    AddToLog('Пользователь выполнил "sfc /scannow"');
    SaveLog('Recover_' + Name + '.log');
  end
 else
  begin
    AddToLog('Пользователь выбрал самостоятельный способ замены.');
    SaveLog('Recover_' + Name + '.log');
  end;
end;

Procedure CompleteFix(Path, Name : string);
begin
   RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
   CopyFile(Path + Name, '%windir%\system32\' + Name);
   DeleteFile('%windir%\system32\' + Name + '.bak');
end;

Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
  if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
   begin
     AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
     SaveLog('Recover_' + Name + '.log');
     SysFileRecoverFromDistrib(Path, Name);
   end
  else if FileExists('%windir%\system32\dllcache\' + Name) then
   begin
    if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
      begin
        CompleteFix('%windir%\system32\dllcache\', Name); 
        AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
        SaveLog('Recover_' + Name + '.log');
      end
    else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
     begin
       if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
        begin
          CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
          AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
          SaveLog('Recover_' + Name + '.log');
        end
     end
   end;
 if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 
  begin
    AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
    SaveLog('Recover_' + Name + '.log');
    SysFileRecoverFromDistrib(Path, Name);
  end;
end;

var SourcePath : String;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows.1\system32\drivers\sfc.sys','');
 DeleteFile('c:\windows.1\system32\drivers\sfc.sys');
 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки обязательно прикрепите файл Recover_sfcfiles.log, он появится в папке AVZ.

После чего повторите логи

hoku · Отправлено: **15:55, 17-03-2011** | #3

вот файл Recover_sfcfiles.log
прога походу не заменила зараженный файл...

P.S. диск с виндой вставлен...щас сделаю еще логи...

Drongo · Конфигурация компьютера

Цитата hoku:

прога походу не заменила зараженный файл... »

Ну почему же? В логе видно, что выполнилась эта часть скрипта.

Код:

Запуск приложения sfc /scannow 
Пользователь выполнил "sfc /scannow"

Цитата hoku:

щас сделаю еще логи... »

Ждём.

hoku · Отправлено: **18:40, 17-03-2011** | #5

вот логи, я кстати в прошлый раз дамп не тот кинул случайно, несколько папок с виндой прост, не из той вытащил, вот щас те прикрепил)))

thyrex · Конфигурация компьютера

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.

hoku · mbam-log-2011-03-18 (14-28-25).rar

вот лог...

hoku · Отправлено: **22:58, 18-03-2011** | #8

ну так что делать то ? проблема не исчезла...

Drongo · Конфигурация компьютера

hoku, Проверьте пожалуйста файл C:\Windows\system32\sfcfiles.dll на http://www.virustotal.com/index.html а результат скопируйте ввиде ссылки.

thyrex · Конфигурация компьютера

hoku, после проверки

1. c:\WINDOWS.1\system32\sfcfiles.dll замените чистым с дистрибутива или скопируйте с аналогичной системы

2. Удалите в МВАМ

Код:

Заражённые папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
c:\program files\seekservice (Adware.SeekService) -> No action taken.

Заражённые файлы:
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP10\A0012559.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP11\A0013023.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP13\A0014085.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP14\A0014137.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP15\A0015074.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP4\A0009023.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP4\A0011012.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP4\A0012092.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP5\A0012169.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP6\A0012231.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP7\A0012239.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP8\A0012320.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP9\A0012552.dll (Trojan.Patch) -> No action taken.
c:\Users\hoku\рабочий стол\ПРОГИ\avz4\avz4\quarantine\2011-03-17\avz00002.dta (Malware.Packer.Gen) -> No action taken.
c:\Users\hoku\рабочий стол\ПРОГИ\avz4\avz4\quarantine\2011-03-17\avz00008.dta (Malware.Packer.Gen) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\S77ZGSBA\jiegzwt[1].bmp (Extension.Mismatch) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\documents and settings\hunter.hunter_computer\главное меню\программы\автозагрузка\chkntfs.exe (Trojan.Downloader) -> No action taken.