 |
|
|
14.01.2011, 22:31
|
#1 |
|
Специалист
Регистрация: 14.01.2011
Сообщений: 4,518
Репутация: 426
|
Много проблем сразу
В общем по порядку
1. Уже неск месяцев вылетает bsod с ошибкой 0х00001D который винит драйвер zoabnxga.sys который я ваще хз че такое 2. Вчера решил почистить комп. После этого полетела 1 планка оперативки на 2Гб (обе по 2). При запуске комп издает длинные писки если та планка вставлена. Причем особо я ничего не делал- вытащил пыль вытер вставил. 3. За сегодня bsod вылетел уже раз 5-7. причем 1 раз аж с 2 дровами- zoabnxga.sys и spsys. и 1 раз с xsvuс.sys. bluescreenview не показывает файлы дампа аж с октября хотя у меня чуть ли не каждый день вылетает бсод. 4. svchost.exe грузит проц на 45%. С сегодняшнего дня. Народ помогайте это все как нить связано? ЗЫ- проц AMD Athlon 64 х2 5200+ МГц, ОС- семерка http://zalil.ru/30333418 АВЗ http://zalil.ru/30333422 Хайджек (тока я не понял насчет момента удаления файлов после скана, там написанно- только те которые вам укажут, где это посмотреь?) Что интересно они вылезают если интернет включен...особенно если я в нем сижу или в кс играю ЗЫ- пардон, xsvuc.sys Итак синий экран у меня сегдня вылезал: 1. В контакте- 3 раза 2. На форуме - 1 раз 3. Когда поставил качаться доктор веб курейт- 1 раз 4. Когда запустил курейт - 1 раз Появляется некая закономерность. Даже 3: 1. xsvuc.sys появился после слета 1 планки оперативы 2. синий экран вылезает када свхост входит в свои 50% загрузки ЦП. 3. свхост начинает бить проц если включен интернет....вроде... Хз поможет это определить проблему или нет но я счел нужным это написать |
|
|
15.01.2011, 04:12
|
#2 |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\cmdow.exe','');
QuarantineFile('C:\Windows\System32\Drivers\xsvuc.sys','');
QuarantineFile('C:\Windows\System32\Drivers\zoabnxga.sys','');
DeleteFile('C:\Windows\System32\Drivers\zoabnxga.sys');
DeleteFile('C:\Windows\System32\Drivers\xsvuc.sys');
DeleteFile('C:\Windows\TEMP\52402af78b36');
DeleteFile('C:\Windows\TEMP\5400c77d1dd');
DeleteFile('C:\Windows\TEMP\52003e0e0169');
DeleteFile('C:\Windows\TEMP\5280b9442794');
DeleteFile('C:\Windows\TEMP\524045c67d00');
DeleteFile('C:\Windows\TEMP\5160fe508639');
DeleteFile('C:\Windows\TEMP\52401315bc4c');
DeleteFile('C:\Windows\TEMP\5240c271f086');
DeleteFile('C:\Windows\TEMP\52409fed4d08');
DeleteFile('C:\Windows\TEMP\5240d35073d3');
DeleteFile('C:\Windows\TEMP\524094b20ee5');
DeleteFile('C:\Windows\TEMP\50409276c5d4');
DeleteFile('C:\Windows\TEMP\5200be758f8c');
DeleteFile('C:\Windows\TEMP\52009bd64fa1');
DeleteFile('C:\Windows\TEMP\524068eeba31');
DeleteFile('C:\Windows\TEMP\524035db4e74');
DeleteFile('C:\Windows\TEMP\56809f14a31');
DeleteFile('C:\Windows\TEMP\52402772fc69');
DeleteFile('C:\Windows\TEMP\540054cf7c8e');
DeleteFile('c:\windows\system32\2b23bc99.exe');
DeleteFile('c:\windows\system32\49d98edf.exe');
DeleteFile('c:\windows\system32\f236503a.exe');
DeleteFile('C:\Windows\system32\cmdow.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
DeleteService('23bbd43495072535');
DeleteService('256f377237b4560c');
DeleteService('615e1d839f93aff1');
DeleteService('6b4d23611d254dc3');
DeleteService('783f6e267150eaea');
DeleteService('8dc8c89c8d1ed7b6');
DeleteService('933c55b8378f7f0f');
DeleteService('9752d5ebbe7cf4ea');
DeleteService('a0a7d9dce08abe8e');
DeleteService('a1ea78a8544309b9');
DeleteService('a2539a33a82b9e32');
DeleteService('a57378b77dd593de');
DeleteService('c6efeff62b4313f1');
DeleteService('d065b6e794b8fbf2');
DeleteService('d1dc7adf5b5ba6bd');
DeleteService('d2e325abb5265258');
DeleteService('dc581456d70a8a2a');
DeleteService('fdf1bdb8edffeed4');
DeleteService('fdf9e342995482f0');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось Iljeben; 15.01.2011 в 06:36. |
|
|
|
15.01.2011, 13:16
|
#5 | |
|
Специалист
Регистрация: 14.01.2011
Сообщений: 4,518
Репутация: 426
|
Цитата:
|
|
|
|
|
15.01.2011, 13:22
|
#6 |
|
Мастер
|
slashboy, ладно, попробуем обойтись без GMER -а.
Скопируйте ниже приведенный текст в Блокнот и сохраните под именем Malware.txt в папке с AVZ. Код:
xsvuc zoabnxga Код:
var
i,j:integer;
name,ServiceDll,NumStr:string;
NameMal: TStringList;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
NameMal:=TStringList.create;
NameMal.LoadFromFile(GetAVZDirectory +'Malware.txt');
for i:=0 to NameMal.count - 1 do
begin
name:=trim(NameMal[i]);
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name) then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name);
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters');
if RegKeyParamExists('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters', 'ServiceDll') then
begin
ServiceDll:=RegKeyStrParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters', 'ServiceDll');
if FileExists(ServiceDll) then
begin
QuarantineFile(ServiceDll,'');
if DeleteFile(ServiceDll) then
AddToLog('Файл '+ServiceDll+' удалён.') else
AddToLog('Файл '+ServiceDll+' не удалён.');
end;
end;
RegKeyDel('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name+'\Parameters');
RegKeyDel('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\'+name) then
AddToLog('Ключ реестра HKLM\SYSTEM\'+NumStr+'\Services\'+name+' не удалён.') else
AddToLog('Ключ реестра HKLM\SYSTEM\'+NumStr+'\Services\'+name+' удалён.');
end;
end;
DeleteService(name);
BC_DeleteSvc(name);
end;
NameMal.Free;
SaveLog(GetAVZDirectory + 'log.log');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\Drivers\zoabnxga.sys','');
QuarantineFile('C:\Windows\System32\Drivers\xsvuc.sys','');
DeleteFile('C:\Windows\System32\Drivers\xsvuc.sys');
DeleteFile('C:\Windows\System32\Drivers\zoabnxga.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
15.01.2011, 13:26
|
#7 |
|
Мастер
|
slashboy, очень извиняюсь. Это моя ошибка, я Вам дал неправильную ссылку. Как сделатьлог GMER.
|
|
|
|
15.01.2011, 13:37
|
#8 | |
|
Специалист
Регистрация: 14.01.2011
Сообщений: 4,518
Репутация: 426
|
Цитата:
и еще при выполнении 1 скрипта вылезает вот это http://s54.radikal.ru/i145/1101/4b/4194098b3622.jpg |
|
|
|
| Ads | |
|
15.01.2011, 13:43
|
#9 | ||
|
Мастер
|
Цитата:
Цитата:
Ладно сделайте и пришлите лог GMER. |
||
|
|
|
15.01.2011, 13:47
|
#10 | |
|
Специалист
Регистрация: 14.01.2011
Сообщений: 4,518
Репутация: 426
|
Фигня какая то, кроме тго что не может тот текстовый файл найти теперь еще и вот это
! C:\Downloads\Архивы\gmer[1].zip: Невозможно создать gmer.exe ! Не удается найти указанный файл. ! Невозможно выполнить "C:\Users\SlAShER\AppData\Local\Temp\Rar$EX00.382\ gmer.exe" Это пишет винрар када пытаюсь gmer запустить ---------- Добавлено в 12:47 ---------- Предыдущее сообщение было написано в 12:45 ---------- Цитата:
Через час приду надо отойти. |
|
|
|
|
15.01.2011, 13:51
|
#11 |
|
Мастер
|
slashboy, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurity('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('xsvuc');
BC_ServiceKill('zoabnxga');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
AddToLog( inttostr( BC_ServiceKill('test1')) );
RebootWindows(true);
end.
|
|
|
|
15.01.2011, 14:08
|
#13 |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurity('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\Drivers\zoabnxga.sys','');
QuarantineFile('C:\Windows\System32\Drivers\xsvuc.sys','');
DeleteFile('C:\Windows\System32\Drivers\xsvuc.sys');
DeleteFile('C:\Windows\System32\Drivers\zoabnxga.sys');
BC_ServiceKill('xsvuc');
BC_ServiceKill('zoabnxga');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
AddToLog( inttostr( BC_ServiceKill('test1')) );
RebootWindows(true);
end.
|
|
|
|
15.01.2011, 15:15
|
#14 |
|
Специалист
Регистрация: 14.01.2011
Сообщений: 4,518
Репутация: 426
|
Кстати за все утро бсод ни разу не вылез
 Осталась проблема с свхостом. шрузит все 2 проца... Пардон забыл скрипт №2 ща перезалью ---------- Добавлено в 14:15 ---------- Предыдущее сообщение было написано в 13:50 ---------- http://zalil.ru/30337117 Последний раз редактировалось slashboy; 15.01.2011 в 15:14. |
|
|
|
15.01.2011, 15:28
|
#15 | |
|
Мастер
|
slashboy, заново скачайте GMER и постарайтесь сделать им лог.
Цитата:
|
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| HDD проблем | ПАЛЫЧ 2 | Неисправности, настройка | 17 | 22.01.2011 17:36 |
| Букет проблем | brs3rkr | Железо | 10 | 25.08.2010 21:16 |
| Букет проблем | Volverine | Неисправности, настройка | 1 | 04.08.2010 20:15 |
| Масса проблем с компом | Mamogor | Безопасность | 22 | 15.05.2010 21:23 |
| проблем с монитором | Мака | Железо | 5 | 01.12.2009 02:01 |
| Проблем с вирусом | FatBegemot | Безопасность | 16 | 27.10.2009 17:47 |
| Ряд проблем в Висте | A_XEL_ | Windows Vista | 6 | 02.05.2009 00:53 |
| помощь в решеннии проблем | alex | Железо | 9 | 27.02.2009 18:10 |
| Целый букет проблем... | rolgam | Безопасность | 4 | 19.02.2009 12:30 |
| BIG проблем с новым компом | tolyanys | Программы | 4 | 25.07.2008 00:59 |
| Троица проблем | titanfirma | Windows Vista | 4 | 23.06.2008 13:29 |
