14.01.2011, 22:31 | #1 (ссылка) |
Специалист
|
Много проблем сразу
В общем по порядку
1. Уже неск месяцев вылетает bsod с ошибкой 0х00001D который винит драйвер zoabnxga.sys который я ваще хз че такое 2. Вчера решил почистить комп. После этого полетела 1 планка оперативки на 2Гб (обе по 2). При запуске комп издает длинные писки если та планка вставлена. Причем особо я ничего не делал- вытащил пыль вытер вставил. 3. За сегодня bsod вылетел уже раз 5-7. причем 1 раз аж с 2 дровами- zoabnxga.sys и spsys. и 1 раз с xsvuс.sys. bluescreenview не показывает файлы дампа аж с октября хотя у меня чуть ли не каждый день вылетает бсод. 4. svchost.exe грузит проц на 45%. С сегодняшнего дня. Народ помогайте это все как нить связано? ЗЫ- проц AMD Athlon 64 х2 5200+ МГц, ОС- семерка http://zalil.ru/30333418 АВЗ http://zalil.ru/30333422 Хайджек (тока я не понял насчет момента удаления файлов после скана, там написанно- только те которые вам укажут, где это посмотреь?) Что интересно они вылезают если интернет включен...особенно если я в нем сижу или в кс играю ЗЫ- пардон, xsvuc.sys Итак синий экран у меня сегдня вылезал: 1. В контакте- 3 раза 2. На форуме - 1 раз 3. Когда поставил качаться доктор веб курейт- 1 раз 4. Когда запустил курейт - 1 раз Появляется некая закономерность. Даже 3: 1. xsvuc.sys появился после слета 1 планки оперативы 2. синий экран вылезает када свхост входит в свои 50% загрузки ЦП. 3. свхост начинает бить проц если включен интернет....вроде... Хз поможет это определить проблему или нет но я счел нужным это написать |
15.01.2011, 04:12 | #2 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\cmdow.exe',''); QuarantineFile('C:\Windows\System32\Drivers\xsvuc.sys',''); QuarantineFile('C:\Windows\System32\Drivers\zoabnxga.sys',''); DeleteFile('C:\Windows\System32\Drivers\zoabnxga.sys'); DeleteFile('C:\Windows\System32\Drivers\xsvuc.sys'); DeleteFile('C:\Windows\TEMP\52402af78b36'); DeleteFile('C:\Windows\TEMP\5400c77d1dd'); DeleteFile('C:\Windows\TEMP\52003e0e0169'); DeleteFile('C:\Windows\TEMP\5280b9442794'); DeleteFile('C:\Windows\TEMP\524045c67d00'); DeleteFile('C:\Windows\TEMP\5160fe508639'); DeleteFile('C:\Windows\TEMP\52401315bc4c'); DeleteFile('C:\Windows\TEMP\5240c271f086'); DeleteFile('C:\Windows\TEMP\52409fed4d08'); DeleteFile('C:\Windows\TEMP\5240d35073d3'); DeleteFile('C:\Windows\TEMP\524094b20ee5'); DeleteFile('C:\Windows\TEMP\50409276c5d4'); DeleteFile('C:\Windows\TEMP\5200be758f8c'); DeleteFile('C:\Windows\TEMP\52009bd64fa1'); DeleteFile('C:\Windows\TEMP\524068eeba31'); DeleteFile('C:\Windows\TEMP\524035db4e74'); DeleteFile('C:\Windows\TEMP\56809f14a31'); DeleteFile('C:\Windows\TEMP\52402772fc69'); DeleteFile('C:\Windows\TEMP\540054cf7c8e'); DeleteFile('c:\windows\system32\2b23bc99.exe'); DeleteFile('c:\windows\system32\49d98edf.exe'); DeleteFile('c:\windows\system32\f236503a.exe'); DeleteFile('C:\Windows\system32\cmdow.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); DeleteService('23bbd43495072535'); DeleteService('256f377237b4560c'); DeleteService('615e1d839f93aff1'); DeleteService('6b4d23611d254dc3'); DeleteService('783f6e267150eaea'); DeleteService('8dc8c89c8d1ed7b6'); DeleteService('933c55b8378f7f0f'); DeleteService('9752d5ebbe7cf4ea'); DeleteService('a0a7d9dce08abe8e'); DeleteService('a1ea78a8544309b9'); DeleteService('a2539a33a82b9e32'); DeleteService('a57378b77dd593de'); DeleteService('c6efeff62b4313f1'); DeleteService('d065b6e794b8fbf2'); DeleteService('d1dc7adf5b5ba6bd'); DeleteService('d2e325abb5265258'); DeleteService('dc581456d70a8a2a'); DeleteService('fdf1bdb8edffeed4'); DeleteService('fdf9e342995482f0'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(1); BC_Activate; RebootWindows(true); end. Последний раз редактировалось Iljeben; 15.01.2011 в 06:36. |
15.01.2011, 13:22 | #6 (ссылка) |
Мастер
|
slashboy, ладно, попробуем обойтись без GMER -а.
Скопируйте ниже приведенный текст в Блокнот и сохраните под именем Malware.txt в папке с AVZ. Код:
xsvuc zoabnxga Код:
var i,j:integer; name,ServiceDll,NumStr:string; NameMal: TStringList; begin SearchRootkit(true, true); SetAVZGuardStatus(True); NameMal:=TStringList.create; NameMal.LoadFromFile(GetAVZDirectory +'Malware.txt'); for i:=0 to NameMal.count - 1 do begin name:=trim(NameMal[i]); for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name) then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name); RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters'); if RegKeyParamExists('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters', 'ServiceDll') then begin ServiceDll:=RegKeyStrParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters', 'ServiceDll'); if FileExists(ServiceDll) then begin QuarantineFile(ServiceDll,''); if DeleteFile(ServiceDll) then AddToLog('Файл '+ServiceDll+' удалён.') else AddToLog('Файл '+ServiceDll+' не удалён.'); end; end; RegKeyDel('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters'); RegKeyDel('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name) then AddToLog('Ключ реестра HKLM\SYSTEM\'+NumStr+'\Services\'+name+' не удалён.') else AddToLog('Ключ реестра HKLM\SYSTEM\'+NumStr+'\Services\'+name+' удалён.'); end; end; DeleteService(name); BC_DeleteSvc(name); end; NameMal.Free; SaveLog(GetAVZDirectory + 'log.log'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\Drivers\zoabnxga.sys',''); QuarantineFile('C:\Windows\System32\Drivers\xsvuc.sys',''); DeleteFile('C:\Windows\System32\Drivers\xsvuc.sys'); DeleteFile('C:\Windows\System32\Drivers\zoabnxga.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
15.01.2011, 13:26 | #7 (ссылка) |
Мастер
|
slashboy, очень извиняюсь. Это моя ошибка, я Вам дал неправильную ссылку. Как сделатьлог GMER.
|
15.01.2011, 13:37 | #8 (ссылка) | |
Специалист
|
Цитата:
и еще при выполнении 1 скрипта вылезает вот это http://s54.radikal.ru/i145/1101/4b/4194098b3622.jpg |
|
Ads | |
15.01.2011, 13:43 | #9 (ссылка) | ||
Мастер
|
Цитата:
Цитата:
Ладно сделайте и пришлите лог GMER. |
||
15.01.2011, 13:47 | #10 (ссылка) |
Специалист
|
Фигня какая то, кроме тго что не может тот текстовый файл найти теперь еще и вот это
! C:\Downloads\Архивы\gmer[1].zip: Невозможно создать gmer.exe ! Не удается найти указанный файл. ! Невозможно выполнить "C:\Users\SlAShER\AppData\Local\Temp\Rar$EX00.382\ gmer.exe" Это пишет винрар када пытаюсь gmer запустить ---------- Добавлено в 12:47 ---------- Предыдущее сообщение было написано в 12:45 ---------- да сохранил в папку где лежит авз, папку эту я вытащил из архива avz4 и кинул на раб стол. туда же кинул файл Malware.txt Через час приду надо отойти. |
15.01.2011, 13:51 | #11 (ссылка) |
Мастер
|
slashboy, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurity('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_ServiceKill('xsvuc'); BC_ServiceKill('zoabnxga'); BC_ImportAll; ExecuteSysClean; BC_Activate; AddToLog( inttostr( BC_ServiceKill('test1')) ); RebootWindows(true); end. |
15.01.2011, 14:08 | #13 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurity('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\Drivers\zoabnxga.sys',''); QuarantineFile('C:\Windows\System32\Drivers\xsvuc.sys',''); DeleteFile('C:\Windows\System32\Drivers\xsvuc.sys'); DeleteFile('C:\Windows\System32\Drivers\zoabnxga.sys'); BC_ServiceKill('xsvuc'); BC_ServiceKill('zoabnxga'); BC_ImportAll; ExecuteSysClean; BC_Activate; AddToLog( inttostr( BC_ServiceKill('test1')) ); RebootWindows(true); end. |
15.01.2011, 15:15 | #14 (ссылка) |
Специалист
|
Кстати за все утро бсод ни разу не вылез
Осталась проблема с свхостом. шрузит все 2 проца... Пардон забыл скрипт №2 ща перезалью ---------- Добавлено в 14:15 ---------- Предыдущее сообщение было написано в 13:50 ---------- http://zalil.ru/30337117 Последний раз редактировалось slashboy; 15.01.2011 в 15:14. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
HDD проблем | ПАЛЫЧ 2 | Неисправности, настройка | 17 | 22.01.2011 17:36 |
Букет проблем | brs3rkr | Железо | 10 | 25.08.2010 21:16 |
Букет проблем | Volverine | Неисправности, настройка | 1 | 04.08.2010 20:15 |
Масса проблем с компом | Mamogor | Безопасность | 22 | 15.05.2010 21:23 |
проблем с монитором | Мака | Железо | 5 | 01.12.2009 02:01 |
Проблем с вирусом | FatBegemot | Безопасность | 16 | 27.10.2009 17:47 |
Ряд проблем в Висте | A_XEL_ | Windows Vista | 6 | 02.05.2009 00:53 |
помощь в решеннии проблем | alex | Железо | 9 | 27.02.2009 18:10 |
Целый букет проблем... | rolgam | Безопасность | 4 | 19.02.2009 12:30 |
BIG проблем с новым компом | tolyanys | Программы | 4 | 25.07.2008 00:59 |
Троица проблем | titanfirma | Windows Vista | 4 | 23.06.2008 13:29 |