"Синий экран смерти" При выключении компьютера

Denchik · 12.06.2011, 02:19

Делал тему в форуме http://pchelpforum.ru/f34/ как посоветовали проверил комп программами AVZ и HiJackThis
вот логи программы HiJackThis: http://exfile.ru/183389
вот логи программы AVZ: http://exfile.ru/183390
посмотрите пожалуйста и подскажите в чем причина и как убрать синий экран.
Вот коды ошибки которые выскакивают: 0х000000F4, 0x00000003, 0x89160458, 0x891605CC, 0x806056D6.
Очень надеюсь на вашу помощь

Vvvyg · 12.06.2011, 10:10

Denchik, в AVZ меню "Файл" -> "Выполнить скрипт" вставить содержимое окна "код" ниже и нажать "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\admin\local settings\application data\{4b09767e-0414-c454-6399-07e0b07fe8d4}\.exe');
 DeleteFile('c:\documents and settings\admin\local settings\application data\{4b09767e-0414-c454-6399-07e0b07fe8d4}\.exe');
 DeleteFileMask('c:\documents and settings\admin\local settings\application data\{4b09767e-0414-c454-6399-07e0b07fe8d4}', '*.*', true);
 DeleteDirectory('c:\documents and settings\admin\local settings\application data\{4b09767e-0414-c454-6399-07e0b07fe8d4}');
 DeleteFile('c:\documents and settings\admin\application data\j18vs5j5.exe');
 DeleteFile('c:\documents and settings\admin\application data\winlogon.exe');
 TerminateProcessByName('C:\Documents and Settings\Admin\Application Data\Quekti\zyfua.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Quekti\zyfua.exe');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Quekti', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Quekti');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Senzen.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\3.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\811500396.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\476635400.exe');
QuarantineFile('C:\WINDOWS\Domino.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, выложите его на файлообменник и дайте ссылку.
пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ctel.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

Выполните 2-й стандартный скрипт в AVZ и дайте ссылку на файл virusinfo_syscheck.zip.

Denchik · 12.06.2011, 17:07

Vvvyg, вот архив карантина:
http://exfile.ru/183509

---------- Добавлено в 16:07 ---------- Предыдущее сообщение было написано в 15:53 ----------

А вот ссылка на файл virusinfo_syscheck.zip.
http://exfile.ru/183511

Vvvyg · 12.06.2011, 20:13

Denchik, выполните скрипт в AVZ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore', 'DisableSR', 0);
 DelCLSID('{7ACF28CC-ACEF-ED8D-EED4-AB87AB81EEDF}');
 DelCLSID('{0C93AEE8-0C0F-BC27-276E-CFCE4F4DF13D}');
 TerminateProcessByName('c:\documents and settings\admin\application data\849752414.exe');
 DeleteFile('c:\documents and settings\admin\application data\849752414.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\040503147.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ProtSys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win Defender');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Win Defender');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Win Defender');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemProtecter');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ProtectSys');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ProtectSys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NKRY12LW45IMP');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','NKRY12LW45IMP');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','NKRY12LW45IMP');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{81EEEE12-13BA-97AB-7F5E-8BCD5721E591}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Defender');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kernel Drv');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!
Выполните 2-й стандартный скрипт в AVZ и дайте ссылку на файл virusinfo_syscheck.zip.

Denchik · 12.06.2011, 21:11

вот ссылка на файл virusinfo_syscheck.zip.
http://exfile.ru/183593

Vvvyg · 12.06.2011, 23:28

Denchik, выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Senzen.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Defender');
RebootWindows(true);
end.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Denchik · 13.06.2011, 23:54

http://exfile.ru/183973
вот ссылка на отчет

goredey · 14.06.2011, 00:16

Denchik, удалите
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Value: DisableRegedit -> No action taken.
Заражённые папки:
c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\0.4089128836203312.exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\Admin\application data\bjjhq.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\application data\dntgf.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\application data\dushz.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\application data\dxooh.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\application data\fwvjq.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\application data\mdqgm.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\application data\rfoxc.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\application data\xflnr.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\EI0GRWXD\c2[1].exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\LTZ2HWOS\c3[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\total commander powerpack\Wcmikons.dll (Trojan.FakeAlert) -> No action taken.
c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP21\A0016066.exe (PUP.SmsPay) -> No action taken.
c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP21\A0016067.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP21\A0016068.exe (PUP.SmsPay) -> No action taken.
c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP27\A0030337.exe (Trojan.Agent.Gen) -> No action taken.
c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP27\A0030339.exe (Trojan.Agent.Gen) -> No action taken.
c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP27\A0030362.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken.
c:\documents and settings\Admin\application data\data.dat (Stolen.Data) -> No action taken.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> No action taken.

Denchik · 14.06.2011, 00:31

это все те файлы что нашел антивир?

goredey · 14.06.2011, 00:35

Denchik, удалите в МВАМ что я отметил

Denchik · 14.06.2011, 00:41

goredey, удалил
Р.S. синего экрана уже нет

goredey · 14.06.2011, 00:43

Denchik, удачи!"

Denchik · 14.06.2011, 00:44

спасибо огромное))
а почему NOD 32 не нашел вирусы а МВАМ нашел?

goredey · 14.06.2011, 00:48

Denchik, думаю вам сюда http://www.esetnod32.ru/.support/

12.06.2011, 02:19	#1 (ссылка)
Denchik Новичок Регистрация: 11.06.2011 Сообщений: 76 Репутация: 0	"Синий экран смерти" При выключении компьютера Делал тему в форуме http://pchelpforum.ru/f34/ как посоветовали проверил комп программами AVZ и HiJackThis вот логи программы HiJackThis: http://exfile.ru/183389 вот логи программы AVZ: http://exfile.ru/183390 посмотрите пожалуйста и подскажите в чем причина и как убрать синий экран. Вот коды ошибки которые выскакивают: 0х000000F4, 0x00000003, 0x89160458, 0x891605CC, 0x806056D6. Очень надеюсь на вашу помощь Последний раз редактировалось Denchik; 12.06.2011 в 02:30.

12.06.2011, 23:28	#6 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Denchik, выполните скрипт в AVZ: Код: begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); DeleteFile('C:\Documents and Settings\Admin\Application Data\Senzen.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Defender'); RebootWindows(true); end. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
"Синий экран смерти" При выключении компьютера	Denchik	Windows XP	17	12.06.2011 02:13
Синий Экран Смерти при выключении Компьютера	hallsamn	Безопасность	47	26.04.2011 01:27
Синий экран "смерти" при подключенным сетевом кабеле	koshka777	Windows XP	2	31.03.2011 18:15
Синий Экран Смерти при выключении Компьютера.:(	Asskiller	Windows XP	15	12.03.2011 21:22
Синий экран "смерти" при выключении компьютера [Win7]	v.B	Windows 7	3	09.03.2011 08:48
Стал часто появлятся "Синий экран смерти"	Mamogor	Безопасность	14	10.02.2011 21:04
BSOD " Синий экран смерти"	sten4ik	Windows XP	5	30.01.2011 16:33
BSOD (Синий экран смерти). Три разных "бсод'а". Помогите пожалуйста!	GUMAN	Windows XP	8	16.10.2010 20:57
Синий "Экран смерти"	Евген74	Неисправности, настройка	8	30.07.2010 22:00
Синий Экран Смерти "BSOD"	Litoy.88	Неисправности, настройка	16	11.05.2010 21:57
"Синий экран смерти"	VirusA	Неисправности, настройка	7	08.11.2009 05:15
Экран смерти и надгробная надпись "Нажмите любую кнопку"	Гордиенко	Windows XP	2	15.09.2009 18:00

12.06.2011, 17:07	#3 (ссылка)
Denchik Новичок Регистрация: 11.06.2011 Сообщений: 76 Репутация: 0	Vvvyg, вот архив карантина: http://exfile.ru/183509 ---------- Добавлено в 16:07 ---------- Предыдущее сообщение было написано в 15:53 ---------- А вот ссылка на файл virusinfo_syscheck.zip. http://exfile.ru/183511

12.06.2011, 21:11	#5 (ссылка)
Denchik Новичок Регистрация: 11.06.2011 Сообщений: 76 Репутация: 0	вот ссылка на файл virusinfo_syscheck.zip. http://exfile.ru/183593

13.06.2011, 23:54	#7 (ссылка)
Denchik Новичок Регистрация: 11.06.2011 Сообщений: 76 Репутация: 0	http://exfile.ru/183973 вот ссылка на отчет

14.06.2011, 00:16	#8 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Denchik, удалите Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Value: DisableRegedit -> No action taken. Заражённые папки: c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken. Заражённые файлы: c:\documents and settings\Admin\0.4089128836203312.exe (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\Admin\application data\bjjhq.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Admin\application data\dntgf.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Admin\application data\dushz.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Admin\application data\dxooh.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Admin\application data\fwvjq.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Admin\application data\mdqgm.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Admin\application data\rfoxc.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Admin\application data\xflnr.exe (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\EI0GRWXD\c2[1].exe (Trojan.Agent.Gen) -> No action taken. c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\LTZ2HWOS\c3[1].exe (Spyware.Passwords.XGen) -> No action taken. c:\program files\total commander powerpack\Wcmikons.dll (Trojan.FakeAlert) -> No action taken. c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP21\A0016066.exe (PUP.SmsPay) -> No action taken. c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP21\A0016067.exe (Trojan.Dropper) -> No action taken. c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP21\A0016068.exe (PUP.SmsPay) -> No action taken. c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP27\A0030337.exe (Trojan.Agent.Gen) -> No action taken. c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP27\A0030339.exe (Trojan.Agent.Gen) -> No action taken. c:\system volume information\_restore{171fba1d-6914-4f72-a441-79d2fe1a262f}\RP27\A0030362.exe (Spyware.Passwords.XGen) -> No action taken. c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken. c:\documents and settings\Admin\application data\data.dat (Stolen.Data) -> No action taken. c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> No action taken.

14.06.2011, 00:31	#9 (ссылка)
Denchik Новичок Регистрация: 11.06.2011 Сообщений: 76 Репутация: 0	это все те файлы что нашел антивир?

14.06.2011, 00:35	#10 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Denchik, удалите в МВАМ что я отметил

14.06.2011, 00:41	#11 (ссылка)
Denchik Новичок Регистрация: 11.06.2011 Сообщений: 76 Репутация: 0	goredey, удалил Р.S. синего экрана уже нет

14.06.2011, 00:43	#12 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Denchik, удачи!"

14.06.2011, 00:44	#13 (ссылка)
Denchik Новичок Регистрация: 11.06.2011 Сообщений: 76 Репутация: 0	спасибо огромное)) а почему NOD 32 не нашел вирусы а МВАМ нашел?

14.06.2011, 00:48	#14 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Denchik, думаю вам сюда http://www.esetnod32.ru/.support/

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)