02.02.2011, 18:04 | #1 (ссылка) |
Новичок
Регистрация: 02.02.2011
Сообщений: 7
Репутация: 0
|
При загрузке Windows сообщение "Windows не удалось найти amht.xfo...
При загрузке Windows выходит сообщение: "Windows не удалось найти amht.xfo. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите на кнопку "Пуск", а затем выберите команду "Найти"".
Ссылка на файл после AVZPM - http://exfile.ru/154678 Ссылка на файл после hijackthis - http://exfile.ru/154679 Спасибо. |
02.02.2011, 18:18 | #2 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
dianta, привет
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('pe719emu'); QuarantineFile('H:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\Drivers\pe719emu.sys',''); QuarantineFile('$‘|ЂА—|ъ‘|4».exe',''); QuarantineFile(' amht.xfo kixxkk',''); DeleteFile('$‘|ЂА—|ъ‘|4».exe'); DeleteFile('C:\WINDOWS\system32\Drivers\pe719emu.sys'); DeleteFile('H:\autorun.inf'); DeleteFile(' amht.xfo kixxkk'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services'); DeleteService('pe719emu'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(13); ExecuteRepair(16); RebootWindows(true); end. Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. |
02.02.2011, 19:05 | #4 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
dianta, временно отключите эмуляторы диска. Ознакомтесь
И повторите лог гмер |
02.02.2011, 20:04 | #9 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log'); BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log'); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('H:\autorun.inf'); BC_ImportALL; BC_ServiceKill('coeykp'); ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end. |
02.02.2011, 22:11 | #10 (ссылка) |
Новичок
Регистрация: 02.02.2011
Сообщений: 7
Репутация: 0
|
Alcohol я удалила полностью. запустила Defogger. перезагрузилась. запустила гмер. опять синий экран.
Кроме того, при завершении работы Windows сообщение: "Инструкция по адресу:"0x0012e5e8" обратилась к памяти по адресу "0xfffffff". Память не может быть read." По последнему вашему сообщению: ссылка на файл http://exfile.ru/154717. ---------- Добавлено в 21:11 ---------- Предыдущее сообщение было написано в 20:51 ---------- при последней загрузке первоначального сообщения уже нет. Т.е. проблема решена? В тоже время при завершении работы выходит вышеуказанное сообщение. Мне создать новую тему или продолжать в этой? |
02.02.2011, 22:35 | #11 (ссылка) |
Мастер
|
dianta, диск Н:\ это флешка?
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('H:\autorun.inf'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. З.ы. у Вас SP2, неплохо бы обновиться до SP3. |
02.02.2011, 23:52 | #13 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
dianta, у вас было заражение вирусом кидо.
Обязательно установите SP3 иначе будете частым гостем. Установите эти патчи для закрытия уязвимости в системе http://www.microsoft.com/rus/technet.../MS08-067.mspx http://www.microsoft.com/rus/technet.../MS08-068.mspx http://www.microsoft.com/rus/technet.../MS09-001.mspx + Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|