Показать полную графическую версию : BSOD при перезагрузке/выключении компьютера
BSOD при перезагрузке/выключении компьютера
чувствую где-то вирус подхватил, не знаю как избавиться...
при перезагрузке или выключении компьютера вылетает BSOD
Technical information:
***STOP: 0X0000008E(0XC0000005, 0X8064CE4D, 0XA8615B08, 0X00000000)
прикрепил файлы avz и файл минидампов...
hoku, Привет. Да, это вирус. Выполните такой скрипт. Предварительно вставьте в привод дистрибутив вашей копии Windows. Это нужно на тот случай если понадобится заменить заражённый системный файл.
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
begin
ExecuteFile('sfc /scannow', '', 1, 0, true);
AddToLog('Пользователь выполнил "sfc /scannow"');
SaveLog('Recover_' + Name + '.log');
end
else
begin
AddToLog('Пользователь выбрал самостоятельный способ замены.');
SaveLog('Recover_' + Name + '.log');
end;
end;
Procedure CompleteFix(Path, Name : string);
begin
RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
CopyFile(Path + Name, '%windir%\system32\' + Name);
DeleteFile('%windir%\system32\' + Name + '.bak');
end;
Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
begin
AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
SaveLog('Recover_' + Name + '.log');
SysFileRecoverFromDistrib(Path, Name);
end
else if FileExists('%windir%\system32\dllcache\' + Name) then
begin
if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
begin
CompleteFix('%windir%\system32\dllcache\', Name);
AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
SaveLog('Recover_' + Name + '.log');
end
else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
begin
if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
begin
CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
SaveLog('Recover_' + Name + '.log');
end
end
end;
if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then
begin
AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
SaveLog('Recover_' + Name + '.log');
SysFileRecoverFromDistrib(Path, Name);
end;
end;
var SourcePath : String;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows.1\system32\drivers\sfc.sys','');
DeleteFile('c:\windows.1\system32\drivers\sfc.sys');
SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки обязательно прикрепите файл Recover_sfcfiles.log, он появится в папке AVZ.
После чего повторите логи
вот файл Recover_sfcfiles.log
прога походу не заменила зараженный файл...
P.S. диск с виндой вставлен...щас сделаю еще логи...
прога походу не заменила зараженный файл... »Ну почему же? В логе видно, что выполнилась эта часть скрипта.
Запуск приложения sfc /scannow
Пользователь выполнил "sfc /scannow"щас сделаю еще логи... »Ждём.
вот логи, я кстати в прошлый раз дамп не тот кинул случайно, несколько папок с виндой прост, не из той вытащил, вот щас те прикрепил)))
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
ну так что делать то ? проблема не исчезла...
hoku, Проверьте пожалуйста файл C:\Windows\system32\sfcfiles.dll на http://www.virustotal.com/index.html а результат скопируйте ввиде ссылки.
hoku, после проверки
1. c:\WINDOWS.1\system32\sfcfiles.dll замените чистым с дистрибутива (http://virusinfo.info/showthread.php?t=51654) или скопируйте с аналогичной системы
2. Удалите в МВАМ (http://virusinfo.info/showpost.php?p=493584&postcount=2) Заражённые папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
c:\program files\seekservice (Adware.SeekService) -> No action taken.
Заражённые файлы:
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP10\A0012559.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP11\A0013023.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP13\A0014085.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP14\A0014137.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP15\A0015074.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP4\A0009023.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP4\A0011012.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP4\A0012092.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP5\A0012169.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP6\A0012231.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP7\A0012239.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP8\A0012320.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{93de3ebd-1c15-41b0-af26-ed599f6a035a}\RP9\A0012552.dll (Trojan.Patch) -> No action taken.
c:\Users\hoku\рабочий стол\ПРОГИ\avz4\avz4\quarantine\2011-03-17\avz00002.dta (Malware.Packer.Gen) -> No action taken.
c:\Users\hoku\рабочий стол\ПРОГИ\avz4\avz4\quarantine\2011-03-17\avz00008.dta (Malware.Packer.Gen) -> No action taken.
c:\Users\networkservice\local settings\temporary internet files\Content.IE5\S77ZGSBA\jiegzwt[1].bmp (Extension.Mismatch) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\documents and settings\hunter.hunter_computer\главное меню\программы\автозагрузка\chkntfs.exe (Trojan.Downloader) -> No action taken.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC