Синий экран смерти,посмотрите пожалуйста логи

[O-D-A]

при загрузке появляется синий экран с такой ошибкой

0x00000044: MULTIPLE_IRP_COMPLETE_REQUESTS

сказали обратиться сюда,помогите востановить функции ноутбука!

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

при загрузке появляется синий экран

Не мудренно

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\system32\WinNt64.dll

C:\WINDOWS\system32\WinNt32.dll

C:\WINDOWS\system32\Drivers\Sbj20.sys

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\w32drv9.exe','');QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');QuarantineFile('C:\WINDOWS\system32\WinNt64(4).dll','');QuarantineFile('C:\WINDOWS\system32\WinNt32(2).dll','');QuarantineFile('C:\Documents and Settings\Dead\Local Settings\Temp\1CA2.tmp','');QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');QuarantineFile('c:\windows\system32\winlogon.exe','');QuarantineFile('C:\WINDOWS\mmhren1.exe','');QuarantineFile('C:\WINDOWS\system32\ke64boot.dll','');SetServiceStart('tcpsr', 4);QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Sbj20.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\ddcrbcupupq.sys','');QuarantineFile('C:\WINDOWS\System32\WLTRYSVC.EXE','');QuarantineFile('C:\PROGRA~1\COMMON~1\MICROS~1\PROOF\1049\MSGRRU32.DLL','');QuarantineFile('c:\windows\system32\wltrysvc.exe','');DeleteFile('C:\WINDOWS\system32\Drivers\Sbj20.sys');DeleteFile('C:\WINDOWS\system32\drivers\ddcrbcupupq.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Sbj20.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\system32\ke64boot.dll');DeleteFile('WinNt64.dll');DeleteFile('ke64boot.dll');DeleteFile('C:\WINDOWS\mmhren1.exe');DeleteFile('c:\windows\system32\winlogon.exe');DeleteFile('C:\Documents and Settings\Dead\Local Settings\Temp\1CA2.tmp');DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I129ANLD\loader[1].exe');DeleteFile('C:\WINDOWS\system32\WinNt32(2).dll');DeleteFile('C:\WINDOWS\system32\WinNt32(3).dll');DeleteFile('C:\WINDOWS\system32\WinNt32(4).dll');DeleteFile('C:\WINDOWS\system32\WinNt32.dll');DeleteFile('C:\WINDOWS\system32\WinNt64(2).dll');DeleteFile('C:\WINDOWS\system32\WinNt64(3).dll');DeleteFile('C:\WINDOWS\system32\WinNt64(4).dll');DeleteFile('C:\WINDOWS\system32\WinNt64(5).dll');DeleteFile('C:\WINDOWS\system32\WinNt64.dll');DeleteFile('C:\WINDOWS\Temp\5d40f77hpf77a.exe');DeleteFile('C:\WINDOWS\system32\w32drv9.exe');DeleteService('RSVPUPS');DeleteService('tcpsr');DeleteService('hjsog');DeleteService('Sbj20');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);BC_ImportALL;BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

 	O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - C:\Program Files\VirtualNetwork\VirtualNetwork.dllO20 - Winlogon Notify: ke64boot - C:\WINDOWS\SYSTEM32\ke64boot.dllO20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt64.dll

Если при запуске скрипта будет синий экран.....уберите из скрипта строку

 SearchRootkit(true, true);

cureit проверяли?

Повторите логи.

Изменено 23 августа, 2008 пользователем akoK

[O-D-A]

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

QuarantineFile('C:\WINDOWS\system32\w32drv9.exe','');

QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');

QuarantineFile('C:\WINDOWS\system32\WinNt64(4).dll','');

QuarantineFile('C:\WINDOWS\system32\WinNt32(2).dll','');

QuarantineFile('C:\Documents and Settings\Dead\Local Settings\Temp\1CA2.tmp','');

QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');

QuarantineFile('c:\windows\system32\winlogon.exe','');

QuarantineFile('C:\WINDOWS\mmhren1.exe','');

QuarantineFile('C:\WINDOWS\system32\ke64boot.dll','');

SetServiceStart('tcpsr', 4);

QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');

QuarantineFile('C:\WINDOWS\System32\Drivers\Sbj20.sys','');

QuarantineFile('C:\WINDOWS\system32\drivers\ddcrbcupupq.sys','');

QuarantineFile('C:\WINDOWS\System32\WLTRYSVC.EXE','');

QuarantineFile('C:\PROGRA~1\COMMON~1\MICROS~1\PROOF\1049\MSGRRU32.DLL','');

QuarantineFile('c:\windows\system32\wltrysvc.exe','');

DeleteFile('C:\WINDOWS\system32\Drivers\Sbj20.sys');

DeleteFile('C:\WINDOWS\system32\drivers\ddcrbcupupq.sys');

DeleteFile('C:\WINDOWS\System32\Drivers\Sbj20.sys');

DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');

DeleteFile('C:\WINDOWS\system32\ke64boot.dll');

DeleteFile('WinNt64.dll');

DeleteFile('ke64boot.dll');

DeleteFile('C:\WINDOWS\mmhren1.exe');

DeleteFile('c:\windows\system32\winlogon.exe');

DeleteFile('C:\Documents and Settings\Dead\Local Settings\Temp\1CA2.tmp');

DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I129ANLD\loader[1].exe');

DeleteFile('C:\WINDOWS\system32\WinNt32(2).dll');

DeleteFile('C:\WINDOWS\system32\WinNt32(3).dll');

DeleteFile('C:\WINDOWS\system32\WinNt32(4).dll');

DeleteFile('C:\WINDOWS\system32\WinNt32.dll');

DeleteFile('C:\WINDOWS\system32\WinNt64(2).dll');

DeleteFile('C:\WINDOWS\system32\WinNt64(3).dll');

DeleteFile('C:\WINDOWS\system32\WinNt64(4).dll');

DeleteFile('C:\WINDOWS\system32\WinNt64(5).dll');

DeleteFile('C:\WINDOWS\system32\WinNt64.dll');

DeleteFile('C:\WINDOWS\Temp\5d40f77hpf77a.exe');

DeleteFile('C:\WINDOWS\system32\w32drv9.exe');

DeleteService('RSVPUPS');

DeleteService('tcpsr');

DeleteService('hjsog');

DeleteService('Sbj20');

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

BC_ImportALL;

BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');

BC_Activate;

ExecuteSysClean;

RebootWindows(true);

end.

раньше я мог загружать ноутбук через Безопасный режим и Загрузка системы с работоспособными параметрами,а теперь у мя ни через что не загружается.Ноутбук сразу начинает темнеть и перегружается.

я когда в F8 выбираешь Отключить автоматическую перезагрузку системы появляется синий экран и написано Stop: c000021a дальше всякие иероглифы надпись Windows Logon Process и 0х0000034

Вопрос...что делать?

все делал как вы сказали!и программу скачал и удалил те файлы

а когда использовал тот скрипт все...

[ser208]

Система очень сильно поражена. Лучше воспользоваться установкой системы с нуля. В ноутбуках обычно восстановление из скрытого раздела или с идущих в комплекте дисков. Какой у тебя ноутбук?

[O-D-A]

Dell Inspiron 1501

жалко как то все терять...

[ser208]

Dell Inspiron 1501

жалко как то все терять...

А что нужно восстановить?

Изменено 24 августа, 2008 пользователем ser208

[O-D-A]

желательно бы все)

а мона хотя бы сделать как раньше было?я музыку,фильмы,всякие проги,документы запишу на диск и снесу систему

[ser208]

Все можно сделать из под LiveCD.

Вообще конечно музыку, данные и т.п. нужно хранить на другом разделе, не где система стоит.

Если раздобудешь Winternals ERD Commader, то, загрузившись с него можно сделать восстановление системы из точек восстановления.

А вообще то тебе конечно раньше надо было о данных позаботиться, раз уж ты видел, что у тебя неполадки такие с системой.

Изменено 24 августа, 2008 пользователем ser208

[O-D-A]

ну так точек восстановления у мя нет,когда я отключал восстановление системы,они удалились!

ясно,спасибо

буду ща новую винду ставить!

[ser208]

Если ты будешь ставить Win в режиме восстановления, т.е. без форматирования, то данные (музыка, документы) сохранятся.

Из под LiveCD можно скопировать все данные на другой раздел.

[O-D-A]

я не понимаю что за LiveCD

у мя стоит XP SP2

а диск с виндой у мя на руках SP3 я пробовал восстановление,он требует ключик,которого у мя нет....))

да и жесткий у мя один,не получится в другой раздел...

[ser208]

Устанавливай без форматирования.

[akoK]

Устанавливай без форматирования.

Тогда прийдется долечивать......если честно это первый, такой объемный, гадюшник в моей практике...

Пробовали зайти через последнюю удачную конфигурацию?

Live CD

[O-D-A]

ни через что не заходило)

спасибо,но я уже снес старую винду и установил новую,все работает!

"гадюшник" :)

[ser208]

Тогда прийдется долечивать......

Только чтобы данные вытащить...

После по нормальному.

Изменено 24 августа, 2008 пользователем ser208

[O-D-A]

вы говорите еще надо форматировать??

я через cureit пропущу...у мя походу все вирусы в системе сидели

[akoK]

O-D-A: можно и cureit....