Обнаружены Win32/Corkow.E.Gen и Win32/Hoax.ArchSMS.SN

@ss-27 · Регистрация: 29.10.2010

Студворк — интернет-сервис помощи студентам

Помогите пожалуйста избавиться от Win32/Corkow.E.Gen и Win32/Hoax.ArchSMS.SN.
Выкладываю логи. Скачать CureIT не могу. Сразу после старта загрузки падает скорость.

@Katharsis · 08.04.2012, 11:27

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ _______________

1. В логе сканирования Hijackthis отметьте:

O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: Helper_bho - {71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

нажмите "Fix checked"

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\1\AppData\Local\Temp\machineupdate32.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\netprotocol.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Creqes.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\conime32.exe','');
 DeleteFile('C:\Users\1\AppData\Local\Temp\conime32.exe');
 DeleteFile('C:\Users\1\AppData\Roaming\Creqes.exe');
 DeleteFile('C:\Users\1\AppData\Local\Temp\machineupdate32.exe');
 DeleteFile('C:\Users\1\AppData\Roaming\netprotocol.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Debugger 32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Creqes');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Netprotocol');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Test System Key');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4. В целях безопасности скачайте и установите Internet Explorer 8

обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

5. смените все пароли

6. сделайте повторные логи avz и rsit.

вопрос. Domain = ndelo.pvt имеет отношение к вашему провайдеру?

@ss-27 · 08.04.2012, 13:10 **[ТС]**

Domain = ndelo.pvt - нет не имеет

Добавлено через 1 час 15 минут

Сообщение от Katharsis

1. В логе сканирования Hijackthis отметьте:
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: Helper_bho - {71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
нажмите "Fix checked"

Не получается прога пишет что-то типа того что надо закрыть все окна браузеров, окна виндоус и повторить. Копирую прогу на рабочий стол, закрываю все окна браузеры и проч..Запускаю ее с рабочего стола-та же история, пофиксить не получается

Добавлено через 24 минуты
по п.2 - Карантин выслал

@Katharsis · 08.04.2012, 13:31

Сообщение от ss-27

Не получается

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
begin
 DelBHO('8984B388-A5BB-4DF7-B274-77B879E179DB');
 DelBHO('71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5');
 DelBHO('3049C3E9-B461-4BC5-8870-4C09146192CA');
RebootWindows(true);
end.

Компьютер перезагрузится

Сообщение от ss-27

Domain = ndelo.pvt

хост легальный, поэтому трогать не будем.

@ss-27 · 08.04.2012, 15:41 **[ТС]**

по п. 3 прицепляю лог

@Katharsis · 08.04.2012, 22:18

Сообщение от Katharsis

сделайте повторные логи avz и rsit.

это тоже .

Добавлено через 5 часов 1 минуту
Как все сделаете и выложите - получите дальнейшие рекомендации. Ответит вам другой специалист.

@ss-27 · 08.04.2012, 22:45 **[ТС]**

Выкладываю логи по п.6

@Katharsis · 08.04.2012, 23:07

1. скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\software\microsoft\sh ared tools\msconfig\startupreg\Creqes]

[-HKEY_LOCAL_MACHINE\software\microsoft\sh ared tools\msconfig\startupreg\Netprotocol]

[-HKEY_LOCAL_MACHINE\software\microsoft\sh ared tools\msconfig\startupreg\Test System Key]

2. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc*(замените*<at>*на*@) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда.

3. сделайте повторный лог RSIT

4. из найденного MBAM удалите:

Обнаруженные ключи в реестре: 13
HKCR\AppID\{D96FA298-1BB6-47FC-AD21-72781B744DC3} (Adware.Reklosoft) -> Действие не было предпринято.
HKCR\CLSID\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\TypeLib\{2552632F-867D-4052-B836-7F83A5302534} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\Interface\{E743CF05-181C-4D72-B4EE-95435ED4B86B} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\rs_adw.Helper_bho.1 (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\rs_adw.Helper_bho (Trojan.Kerlofost) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Explorer\Browser Helper Objects\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Ext\Stats\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\CLSID\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> Действие не было предпринято.
HKCR\rs_adw.Helper_Bar.1 (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> Действие не было предпринято.
HKCR\reklosoft_adw.Helper_Bar (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\AppID\rs_adw.DLL (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: лyв7ёЦўШN!"§oт@–|Tx%.6ыЉг“be–иu1ЦlZѕ›eIи `АY›Ал4fЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ* }§шhmfЇ*}§шhmfЇ*}§шhmuЪА+tIБ—СО–Њ@ЕмІ B«m‡Ђ¬‡х{:efЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шh mfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шh mЂЦQFхЦg=Ѕ
µЕкfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhm6р+IЈ0 -> Действие не было предпринято.

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 6
C:\Users\1\AppData\Roaming\FieryAds (Adware.FieryAds) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> Действие не было предпринято.

Обнаруженные файлы: 20

C:\Users\1\AppData\LocalLow\Sun\Java\Dep loyment\cache\6.0\18\3913212-50af47fe (Spyware.Zbot.ES) -> Действие не было предпринято.

D:\Работа\Газ\Программы\ГазСмета0_79.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.

C:\Users\1\AppData\Roaming\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions. xul (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main. js (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main. js.old (Trojan.Kerlofost) -> Действие не было предпринято.

После удаления повторите лог полного сканирования.

Пункты 2 и 3 - делаются моментально, желательно сделать сегодня

Пункт 4 - можно поставить на ночь, результат выложить завтра

@ss-27 · 08.04.2012, 23:29 **[ТС]**

Выкладываю логи TDSSKiller. Карантин скинул по почте

@ss-27 · 08.04.2012, 23:41 **[ТС]**

Сообщение от Katharsis

Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры:

Дальше параметры в реестре не читаются до объектов реестра (вместо текста в сообщении идет абракадабра)

Добавлено через 3 минуты
Исполняемый файл mbam прога avz отправила на карнтин. Как его оттуда извлечь?

Добавлено через 3 минуты
RSIT запустил. Жду логи

@ss-27 · 08.04.2012, 23:44 **[ТС]**

Логи RSIT

@Katharsis · 08.04.2012, 23:44

Сообщение от ss-27

Дальше параметры в реестре не читаются до объектов реестра (вместо текста в сообщении идет абракадабра)

удалять нужно отмечая в окне MBAM нужные строки, потом кнопка "удалить"

Сообщение от ss-27

Исполняемый файл mbam прога avz отправила на карнтин. Как его оттуда извлечь?

в каталоге авз есть папка Quarantine, там лежит (с измененным расширением). Но доставать оттуда не желательно, лучше переустановите.

@ss-27 · 08.04.2012, 23:50 **[ТС]**

Переустановил MBAM. Пропал список, по п.4 удалить ничего не могу. Придется сначала заново сканировать?

@Katharsis · 09.04.2012, 00:01

Сообщение от ss-27

Придется сначала заново сканировать?

да. как уже писал, можно поставить на ночь. После удаления будет создан ещё один отчет - его выложите.

Добавлено через 8 минут

Сообщение от ss-27

Карантин скинул по почте

Пришло письмо без вложения

@ss-27 · 09.04.2012, 06:18 **[ТС]**

Сообщение от Katharsis

Пришло письмо без вложения

Продублировал с вложением
Прицепляю лог MBAM

@shestale · 09.04.2012, 08:27

Удалите в МВАМ

Обнаруженные ключи в реестре:
HKCR\AppID\{D96FA298-1BB6-47FC-AD21-72781B744DC3} (Adware.Reklosoft) -> Действие не было предпринято.
HKCR\CLSID\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\TypeLib\{2552632F-867D-4052-B836-7F83A5302534} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\Interface\{E743CF05-181C-4D72-B4EE-95435ED4B86B} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\rs_adw.Helper_bho.1 (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\rs_adw.Helper_bho (Trojan.Kerlofost) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Explorer\Browser Helper Objects\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Ext\Stats\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\CLSID\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> Действие не было предпринято.
HKCR\rs_adw.Helper_Bar.1 (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> Действие не было предпринято.
HKCR\reklosoft_adw.Helper_Bar (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\AppID\rs_adw.DLL (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: лyв7ёЦўШN!"§oт@–|Tx%.6ыЉг“be–иu1ЦlZѕ›eIи `АY›Ал4fЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhm fЇ*}§шhmfЇ*}§шhmfЇ*}§шhmuЪА+tIБ—СО–Њ@ ЕмІB«m‡Ђ¬‡х{:efЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шh mfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шh mЂЦQFхЦg=Ѕ
µЕкfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§шhmfЇ*}§ шhm6р+IЈ0 -> Действие не было предпринято.

Обнаруженные папки:
C:\Users\1\AppData\Roaming\FieryAds (Adware.FieryAds) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\1\AppData\LocalLow\Sun\Java\Dep loyment\cache\6.0\18\3913212-50af47fe (Spyware.Zbot.ES) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions. xul (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main. js (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main. js.old (Trojan.Kerlofost) -> Действие не было предпринято.

Добавлено через 24 минуты
В логе сканирования Hijackthis отметьте:

O2 - BHO: Helper_bho - {71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

нажмите "Fix checked"

Что с проблемой?

@ss-27 · 09.04.2012, 21:43 **[ТС]**

Отпишусь вечером.

Добавлено через 12 часов 33 минуты

Сообщение от shestale

В логе сканирования Hijackthis отметьте:
O2 - BHO: Helper_bho - {71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

Не получается пофиксить. Закрываю все окна, запускаю от имени администратора. Выскакивает окшко, что нужно закрыть все окна и повторить попытку. Комп стал сильно греться, при загрузке винды грузится синее окно с ошибкой дампа памяти и еще чего-то))..или же сразу отключается. Жду когда остынет, повторяю попытку. Снова грузится синий экран, или восстановление винды. Попытки с 5-й или 10-й получается загрузить систему. Сильно греется, и шумит - слышно что вентилятор работает на полную.

Sanya · 09.04.2012, 21:50

Сообщение от ss-27

синее окно с ошибкой дампа памяти

что написано после слова STOP ?

и дампы если пишутся, то выложите их сюда

@ss-27 · 09.04.2012, 22:47 **[ТС]**

Синий экран не успеваю прочитать. Включается таймер. Пишет ошибка дампа физической памяти..что-то еще (что я не успеваю причитать) и вырубает комп. Дальше включаю комп, включается система диагностики винды при запуске. Выдает следующее:
Сигнатура проблемы:
Имя события проблемы: BlueScreen
Версия ОС: 6.0.6001.2.1.0.768.2
Код языка: 1049

Дополнительные сведения об этой проблеме:
BCCode: c000021a
BCP1: 8BDFD5C8
BCP2: 00000000
BCP3: C0000001
BCP4: 00100440
OS Version: 6_0_6001
Service Pack: 1_0
Product: 768_1

Файлы, содержащие сведения об этой проблеме:
C:\Windows\Minidump\Mini040912-02.dmp
C:\Users\1\AppData\Local\Temp\WER-139031-0.sysdata.xml
C:\Users\1\AppData\Local\Temp\WER2193.tm p.version.txt

Прочтите заявление о конфиденциальности:
http://go.microsoft.com/fwlink... cid=0x0419

Добавлено через 5 минут
И еще раньше если заглянуть в подробности восстановления, то вот это:
Startup Repair:
Diagnosis and repair details:
Root cause found:
Bugcheck c000021a. Parameters=0ч8ивав5с5б 0x0, 0xc0000001, 0x100440. Boot critical file is corrupt.
Repair action: File repair
Result: Failed. Error code=0x2

Sanya · 09.04.2012, 22:56

C:\Windows\Minidump\Mini040912-02.dmp

вот эти файлы выложите.

c000021a появляется при завершении Winlogon.exe или Csrss.exe.а виндовс не может работать без этих процессов.

Добавлено через 3 минуты
а еще это может быть вызвано аппаратными проблемами - перегревом процессора. в вашем случае как раз на это и похоже

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@ss-27 0 / 0 / 0 Регистрация: 29.10.2010 Сообщений: 66
	08.04.2012, 23:50 [ТС]
	Переустановил MBAM. Пропал список, по п.4 удалить ничего не могу. Придется сначала заново сканировать? 0

@ss-27 0 / 0 / 0 Регистрация: 29.10.2010 Сообщений: 66
	09.04.2012, 22:47 [ТС]
	Синий экран не успеваю прочитать. Включается таймер. Пишет ошибка дампа физической памяти..что-то еще (что я не успеваю причитать) и вырубает комп. Дальше включаю комп, включается система диагностики винды при запуске. Выдает следующее: Сигнатура проблемы: Имя события проблемы: BlueScreen Версия ОС: 6.0.6001.2.1.0.768.2 Код языка: 1049 Дополнительные сведения об этой проблеме: BCCode: c000021a BCP1: 8BDFD5C8 BCP2: 00000000 BCP3: C0000001 BCP4: 00100440 OS Version: 6_0_6001 Service Pack: 1_0 Product: 768_1 Файлы, содержащие сведения об этой проблеме: C:\Windows\Minidump\Mini040912-02.dmp C:\Users\1\AppData\Local\Temp\WER-139031-0.sysdata.xml C:\Users\1\AppData\Local\Temp\WER2193.tm p.version.txt Прочтите заявление о конфиденциальности: http://go.microsoft.com/fwlink... cid=0x0419 Добавлено через 5 минут И еще раньше если заглянуть в подробности восстановления, то вот это: Startup Repair: Diagnosis and repair details: Root cause found: Bugcheck c000021a. Parameters=0ч8ивав5с5б 0x0, 0xc0000001, 0x100440. Boot critical file is corrupt. Repair action: File repair Result: Failed. Error code=0x2 0