Логи, win XP

@SpaceCowboy · Регистрация: 05.07.2011

Студворк — интернет-сервис помощи студентам

Здравствуйте! Сделал все, что требуется в соответствии с Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
Изначально был вирус - типа антивирус, нашедший кучу заразы и не дающий ничего сделать пока не отправишь смс и т.д.
Не запускались exe файлы - это вылечил, запустив файл реестра, который нашел на форуме.
Проверьте логи, пожалуйста

@Katharsis · 05.07.2011, 08:19

1.В логе сканирования Hijackthis отметьте:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.ex e,C:\WINDOWS\system32\6f3e4ba6.exe,C:\WI NDOWS\apppatch\nghlbmc.dat,
O4 - HKCU\..\Run: [5R7Y67neS20.pspro] C:\Documents and Settings\All Users\Application Data\5R7Y67neS20.pspro --run

нажмите "Fix checked"

Если это не ваша стартовая страница, тоже:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lex-pex.ru/

2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\apppatch\nghlbmc.dat','');
 QuarantineFile('C:\WINDOWS\system32\6f3e4ba6.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\5R7Y67neS20.pspro --run','');
 QuarantineFile('C:\Documents and Settings\Ириша\Local Settings\Temp\ms0cfg32.exe','');
 DeleteFile('C:\Documents and Settings\Ириша\Local Settings\Temp\ms0cfg32.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\5R7Y67neS20.pspro --run');
 DeleteFile('C:\WINDOWS\system32\6f3e4ba6.exe');
 DeleteFile('C:\WINDOWS\apppatch\nghlbmc.dat');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5R7Y67neS20.pspro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Ириша\Local Settings\Temp\ms0cfg32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\AppPatch\nghlbmc.dat');
 DeleteFileMask('C:\Documents and Settings\ADMIN\Application Data\a0472764', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\ADMIN\Application Data\a0472764');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(8);
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.обновите:
adobe reader , Sun Java
а так же: Adobe Flash Player, QuickTime, надстройки браузеров.

@SpaceCowboy · 05.07.2011, 19:18 **[ТС]**

Большое спасибо!
Все сделал.

@Katharsis · 05.07.2011, 21:15

из найденного Malwarebytes удалите:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\.PSPRO (Trojan.FakeAlert.PSP) -> No action taken.
HKEY_CLASSES_ROOT\PSP\SHELL\OPEN\COMMAND (Trojan.FakeAlert.PSP) -> No action taken.

Зараженные параметры в реестре:
HKEY_CLASSES_ROOT\.pspro\(default) (Trojan.FakeAlert.PSP) -> Value: (default) -> No action taken.
HKEY_CLASSES_ROOT\PSP\shell\open\command \(default) (Trojan.FakeAlert.PSP) -> Value: (default) -> No action taken.

повторите логи avz и rsit.

Как ощущения?

@SpaceCowboy · 06.07.2011, 20:36 **[ТС]**

Все было ок, теперь после загрузки рабочего стола (иногда сразу, иногда через минут 15) вылетает синий экран:
NO_MORE_IRP_STACK_LOCATIONS
stop: 0x00000035 (0xFDE93E70, 0x00000000, 0x00000000, 0x00000000)

Поэтому логи выложить не могу..

@Katharsis · 06.07.2011, 20:46

0x00000035: NO_MORE_IRP_STACK_LOCATIONS

Драйвер высшего уровня пытался вызвать драйвер низшего уровня через IoCallDriver() интерфейс, но в запасе не было свободного места в области стека, поэтому драйвер низшего уровня не сможет достичь нужных параметров, так как для него вообще нет никаких параметров.
Это гибельная ситуация, так как драйвер высшего уровня считает, что заполнил параметры для драйвера низшего уровня (что-то он должен был сделать, чтобы вызвать драйвер низшего уровня). В то время как составитель аннулировал конец пакета, т.к. нет свободного места. Это означает, что, скорее всего, какая-то память была повреждена.

Сообщение от SpaceCowboy

Все было ок, теперь после загрузки рабочего стола

после чего именно это у вас началось?
в безопасном режиме синие экраны выскакивают тоже?

Включите запись дампов памяти. Для этого нажмите клавиши win+pause ("+" нажимать не нужно), откройте вкладку "дополнительно" - "загрузка и восстановление" в разделе "отказ системы " отметьте "записать событие в системный журнал" в поле "запись отладочной информации " выберите "малый дамп памяти" в следующем поле - укажите папку для сохранения (по умолчанию это C:\windows\minidump).

При включении записи минидампов в случае перезагрузок/отключений/синих экранов будет создана папка C:\windows\minidump, в которой появятся файлы с расширением .dmp Их также нужно будет приложить к теме.

@SpaceCowboy · 06.07.2011, 21:54 **[ТС]**

Сообщение от Katharsis

после чего именно это у вас началось?
в безопасном режиме синие экраны выскакивают тоже?

После того, как я удалил найденные Malwarebytes файлы.
Затем я удалил саму Malwarebytes и поставил лицензию Авиры с максимальным уровнем защиты в настройках.
В безопасном режиме синий экран не вылетает.
Приложил файл .dmp
Нужно запускать в безопасном режиме rsit и avz?
Спасибо!

@Katharsis · 06.07.2011, 22:10

по минидампу - ошибка предположительно связана с драйвером avfwot.sys - принадлежащим авире.

Выгрузите авиру (как временно отключить защитное ПО), отключите интернет и проверьте будет ли появляться ошибка.

Если получится сделать логи в нормальном режиме - сделайте

@SpaceCowboy · 12.07.2011, 17:49 **[ТС]**

Снес авиру, синий экран не вылетает. Но выходит, зря ее купил? Хотя при установке я указал "запускать антивирус как можно раньше при загрузке системы", может просто переустановить и не указывать этот параметр?
Логи повторил.

@Katharsis · 12.07.2011, 18:37

В логе сканирования Hijackthis отметьте:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

нажмите "Fix checked"

В остальном чисто.

Сообщение от SpaceCowboy

Снес авиру, синий экран не вылетает.

Доудалите остатки drweb, возможно это из за него. Если купили авиру, её и юзайте, переустановите и попробуйте другие настройки.

обновите:
adobe reader , Sun Java
а так же: Adobe Flash Player, QuickTime, надстройки браузеров.

Проблема решена?

@SpaceCowboy · 12.07.2011, 18:40 **[ТС]**

Да, большое спасибо!

@Katharsis · 12.07.2011, 18:41

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentV ersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@SpaceCowboy 0 / 0 / 0 Регистрация: 05.07.2011 Сообщений: 6
	06.07.2011, 20:36 [ТС]
	Все было ок, теперь после загрузки рабочего стола (иногда сразу, иногда через минут 15) вылетает синий экран: NO_MORE_IRP_STACK_LOCATIONS stop: 0x00000035 (0xFDE93E70, 0x00000000, 0x00000000, 0x00000000) Поэтому логи выложить не могу.. 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	06.07.2011, 22:10
	по минидампу - ошибка предположительно связана с драйвером avfwot.sys - принадлежащим авире. Выгрузите авиру (как временно отключить защитное ПО), отключите интернет и проверьте будет ли появляться ошибка. Если получится сделать логи в нормальном режиме - сделайте 1

@SpaceCowboy 0 / 0 / 0 Регистрация: 05.07.2011 Сообщений: 6
	12.07.2011, 18:40 [ТС]
	Да, большое спасибо! 0