Компьютерный форум
Страница 1 из 4 1 234
Показывать 40 сообщений этой темы на одной странице

Компьютерный форум (http://pchelpforum.ru/index.php)
-   Безопасность (http://pchelpforum.ru/forumdisplay.php?f=26)
-   -   Много проблем сразу (http://pchelpforum.ru/showthread.php?t=45669)

slashboy 14.01.2011 22:31
Много проблем сразу
 
В общем по порядку
1. Уже неск месяцев вылетает bsod с ошибкой 0х00001D который винит драйвер zoabnxga.sys который я ваще хз че такое
2. Вчера решил почистить комп. После этого полетела 1 планка оперативки на 2Гб (обе по 2).
При запуске комп издает длинные писки если та планка вставлена. Причем особо я ничего не делал- вытащил пыль вытер вставил.
3. За сегодня bsod вылетел уже раз 5-7. причем 1 раз аж с 2 дровами- zoabnxga.sys и spsys. и 1 раз с xsvuс.sys. bluescreenview не показывает файлы дампа аж с октября хотя у меня чуть ли не каждый день вылетает бсод.
4. svchost.exe грузит проц на 45%. С сегодняшнего дня. Народ помогайте это все как нить связано?

ЗЫ- проц AMD Athlon 64 х2 5200+ МГц, ОС- семерка




http://zalil.ru/30333418 АВЗ
http://zalil.ru/30333422 Хайджек (тока я не понял насчет момента удаления файлов после скана, там написанно- только те которые вам укажут, где это посмотреь?)



Что интересно они вылезают если интернет включен...особенно если я в нем сижу или в кс играю
ЗЫ- пардон, xsvuc.sys



Итак синий экран у меня сегдня вылезал:
1. В контакте- 3 раза
2. На форуме - 1 раз
3. Когда поставил качаться доктор веб курейт- 1 раз
4. Когда запустил курейт - 1 раз
Появляется некая закономерность. Даже 3:
1. xsvuc.sys появился после слета 1 планки оперативы
2. синий экран вылезает када свхост входит в свои 50% загрузки ЦП.
3. свхост начинает бить проц если включен интернет....вроде...
Хз поможет это определить проблему или нет но я счел нужным это написать

Iljeben 15.01.2011 04:12
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\cmdow.exe','');
 QuarantineFile('C:\Windows\System32\Drivers\xsvuc.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\zoabnxga.sys','');
 DeleteFile('C:\Windows\System32\Drivers\zoabnxga.sys');
 DeleteFile('C:\Windows\System32\Drivers\xsvuc.sys');
 DeleteFile('C:\Windows\TEMP\52402af78b36');
 DeleteFile('C:\Windows\TEMP\5400c77d1dd');
 DeleteFile('C:\Windows\TEMP\52003e0e0169');
 DeleteFile('C:\Windows\TEMP\5280b9442794');
 DeleteFile('C:\Windows\TEMP\524045c67d00');
 DeleteFile('C:\Windows\TEMP\5160fe508639');
 DeleteFile('C:\Windows\TEMP\52401315bc4c');
 DeleteFile('C:\Windows\TEMP\5240c271f086');
 DeleteFile('C:\Windows\TEMP\52409fed4d08');
 DeleteFile('C:\Windows\TEMP\5240d35073d3');
 DeleteFile('C:\Windows\TEMP\524094b20ee5');
 DeleteFile('C:\Windows\TEMP\50409276c5d4');
 DeleteFile('C:\Windows\TEMP\5200be758f8c');
 DeleteFile('C:\Windows\TEMP\52009bd64fa1');
 DeleteFile('C:\Windows\TEMP\524068eeba31');
 DeleteFile('C:\Windows\TEMP\524035db4e74');
 DeleteFile('C:\Windows\TEMP\56809f14a31');
 DeleteFile('C:\Windows\TEMP\52402772fc69');
 DeleteFile('C:\Windows\TEMP\540054cf7c8e');
 DeleteFile('c:\windows\system32\2b23bc99.exe');
 DeleteFile('c:\windows\system32\49d98edf.exe');
 DeleteFile('c:\windows\system32\f236503a.exe');
 DeleteFile('C:\Windows\system32\cmdow.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
 DeleteService('23bbd43495072535');
 DeleteService('256f377237b4560c');
 DeleteService('615e1d839f93aff1');
 DeleteService('6b4d23611d254dc3');
 DeleteService('783f6e267150eaea');
 DeleteService('8dc8c89c8d1ed7b6');
 DeleteService('933c55b8378f7f0f');
 DeleteService('9752d5ebbe7cf4ea');
 DeleteService('a0a7d9dce08abe8e');
 DeleteService('a1ea78a8544309b9');
 DeleteService('a2539a33a82b9e32');
 DeleteService('a57378b77dd593de');
 DeleteService('c6efeff62b4313f1');
 DeleteService('d065b6e794b8fbf2');
 DeleteService('d1dc7adf5b5ba6bd');
 DeleteService('d2e325abb5265258');
 DeleteService('dc581456d70a8a2a');
 DeleteService('fdf1bdb8edffeed4');
 DeleteService('fdf9e342995482f0');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Плюс пришлите лог GMER.

slashboy 15.01.2011 13:00
"Выбрать вкладку CMD. В верхнее окно скопируйте текст (будет дан вам в теме по лечению) и запустите (Run)."
А какой текст?

http://zalil.ru/30336594

Iljeben 15.01.2011 13:12
slashboy, где лог GMER?

slashboy 15.01.2011 13:16
Цитата:
Сообщение от slashboy (Сообщение 380876)
"Выбрать вкладку CMD. В верхнее окно скопируйте текст (будет дан вам в теме по лечению) и запустите (Run)."
А какой текст?
Я просто не пойму как лог сделать. Тот же скрипт вписывать?

Iljeben 15.01.2011 13:22
slashboy, ладно, попробуем обойтись без GMER -а.

Скопируйте ниже приведенный текст в Блокнот и сохраните под именем Malware.txt в папке с AVZ.
Код:
xsvuc
zoabnxga
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
var
i,j:integer;
name,ServiceDll,NumStr:string;
NameMal: TStringList;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
NameMal:=TStringList.create;
NameMal.LoadFromFile(GetAVZDirectory +'Malware.txt');
for i:=0 to NameMal.count - 1 do
begin
name:=trim(NameMal[i]);
    for j:=0 to 999 do
    begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
    if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name) then
    begin
    RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name);
    RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters');
    if RegKeyParamExists('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters', 'ServiceDll') then
        begin
        ServiceDll:=RegKeyStrParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters', 'ServiceDll');
        if FileExists(ServiceDll) then
            begin
            QuarantineFile(ServiceDll,'');
            if DeleteFile(ServiceDll) then
                AddToLog('Файл '+ServiceDll+' удалён.') else
                AddToLog('Файл '+ServiceDll+' не удалён.');
            end;
        end;
        RegKeyDel('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters');
        RegKeyDel('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name);
        if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name) then
            AddToLog('Ключ реестра HKLM\SYSTEM\'+NumStr+'\Services\'+name+' не удалён.') else
            AddToLog('Ключ реестра HKLM\SYSTEM\'+NumStr+'\Services\'+name+' удалён.');
    end;
    end;
DeleteService(name);
BC_DeleteSvc(name);
end;
NameMal.Free;
SaveLog(GetAVZDirectory + 'log.log');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта комп перезагрузиться. После перезагрузки выполните второй скрипт (AVZ-Файл-Выполнить скрипт...)::
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\Drivers\zoabnxga.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\xsvuc.sys','');
 DeleteFile('C:\Windows\System32\Drivers\xsvuc.sys');
 DeleteFile('C:\Windows\System32\Drivers\zoabnxga.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Iljeben 15.01.2011 13:26
slashboy, очень извиняюсь. Это моя ошибка, я Вам дал неправильную ссылку. Как сделатьлог GMER.

slashboy 15.01.2011 13:37
Цитата:
Сообщение от Iljeben (Сообщение 380882)
slashboy, очень извиняюсь. Это моя ошибка, я Вам дал неправильную ссылку. Как сделатьлог GMER.
Ща сделаем
и еще
при выполнении 1 скрипта вылезает вот это
http://s54.radikal.ru/i145/1101/4b/4194098b3622.jpg

Iljeben 15.01.2011 13:43
Цитата:
Сообщение от slashboy (Сообщение 380884)
при выполнении 1 скрипта вылезает вот это
http://s54.radikal.ru/i145/1101/4b/4194098b3622.jpg
Вы, вот этот текст:
Цитата:
xsvuc
zoabnxga
Под именем Malware.txt сохранили в папке с AVZ или куда?

Ладно сделайте и пришлите лог GMER.

slashboy 15.01.2011 13:47
Фигня какая то, кроме тго что не может тот текстовый файл найти теперь еще и вот это
! C:\Downloads\Архивы\gmer[1].zip: Невозможно создать gmer.exe
! Не удается найти указанный файл.
! Невозможно выполнить "C:\Users\SlAShER\AppData\Local\Temp\Rar$EX00.382\ gmer.exe"
Это пишет винрар када пытаюсь gmer запустить

---------- Добавлено в 12:47 ---------- Предыдущее сообщение было написано в 12:45 ----------

Цитата:
Сообщение от Iljeben (Сообщение 380886)
Под именем Malware.txt сохранили в папке с AVZ или куда?
да сохранил в папку где лежит авз, папку эту я вытащил из архива avz4 и кинул на раб стол. туда же кинул файл Malware.txt

Через час приду надо отойти.

Iljeben 15.01.2011 13:51
slashboy, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                         
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
  KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                   
  if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                 
    RegKeyResetSecurity('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then             
    Result := Result or 8;                 
  end;
  end;               
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_ServiceKill('xsvuc');
 BC_ServiceKill('zoabnxga');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 AddToLog( inttostr( BC_ServiceKill('test1')) );
RebootWindows(true);
end.
После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

slashboy 15.01.2011 14:00
http://zalil.ru/30336773

Iljeben 15.01.2011 14:08
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                         
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
  KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                   
  if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                 
    RegKeyResetSecurity('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then             
    Result := Result or 8;                 
  end;
  end;               
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\Drivers\zoabnxga.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\xsvuc.sys','');
 DeleteFile('C:\Windows\System32\Drivers\xsvuc.sys');
 DeleteFile('C:\Windows\System32\Drivers\zoabnxga.sys');
 BC_ServiceKill('xsvuc');
 BC_ServiceKill('zoabnxga');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 AddToLog( inttostr( BC_ServiceKill('test1')) );
RebootWindows(true);
end.
После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

slashboy 15.01.2011 15:15
Кстати за все утро бсод ни разу не вылез :)
Осталась проблема с свхостом. шрузит все 2 проца...
Пардон забыл скрипт №2 ща перезалью

---------- Добавлено в 14:15 ---------- Предыдущее сообщение было написано в 13:50 ----------

http://zalil.ru/30337117

Iljeben 15.01.2011 15:28
slashboy, заново скачайте GMER и постарайтесь сделать им лог.
Цитата:
Сообщение от slashboy (Сообщение 380931)
Кстати за все утро бсод ни разу не вылез
Это хорошо. Если удастся сделать лог GMER, будет вообще замечательно. :)


Текущее время: 22:53. Часовой пояс GMT +4.
Страница 1 из 4 1 234
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2007-2016, PCHelpForum.ru.