Показано с 1 по 13 из 13.

Функция **** перехвачена - вылечить не удается (заявка № 18041)

  1. #1
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    25
    Вес репутации
    33

    Thumbs up Функция **** перехвачена - вылечить не удается

    Добрый день.

    Симптомы: "слетел" установленный DrWeb, при попытке запустить установку инсталлятор вылетает. При попытке запуска avz - его окно появляется и тут же исчезает. В безопасном режиме виндоус не грузится вообще - вылетает в синий экран с сообщением STOP: c000021a потом кракозябры и "Session Manager initialization" - дальше кракозябры.

    Что делал: снял винт, проверил сканером (DrWeb) на другой машине. Нашел зараженные файлы, удалил их (файлы были в system volume information и еще какие-то, явно не относящиеся к ОС). Поставил винт обратно в родную машину - в результате установщик DrWeb все равно не запускается. AVZ стала запускаться. В безопасном режиме виндоус не грузится.

    В нормальном режиме запустил AVZ, запустил сканер, в логе ошибки типа:
    Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo[1000DC2B]

    лог прикладываю. Также приложил файлы, полученные в результате действий из раздела "Обязательно читать всем ..."
    Вложения Вложения

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\elena\Рабочий стол\ДискF.bat','');
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     QuarantineFile('c:\windows\system32\msuq32.dll','');
     DeleteFile('c:\windows\system32\msuq32.dll');
     DeleteFile('C:\WINDOWS\system32\cpadvai.dll');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18041

    Повторите логив обычном режиме, если опять BSOD создайте такой лог
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    25
    Вес репутации
    33
    Цитата Сообщение от akoK Посмотреть сообщение
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18041

    Повторите логив обычном режиме, если опять BSOD создайте такой лог
    карантин отправил

    а что значит "Повторите логив обычном режиме" ? У меня как раз наоборот- в обычном комп грузится, в безопасном - нет.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    У меня как раз наоборот- в обычном комп грузится, в безопасном - нет.
    Прпустил..
    c:\windows\system32\msuq32.dll - Worm.Win32.Feebs.nj

    Повторяйте логи согласно правилам
    Последний раз редактировалось akoK; 14.02.2008 в 13:20. Причина: Ниже скрипт полнее
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    то и значит, в обычном а чтобы починить безопасный режим попробуйте вот такое лекарство :
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(10);
    RebootWindows(true);
    end.

  7. #6
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    25
    Вес репутации
    33
    Скрипт выполнил - безопасный режим не починился.

    Прогнал снова сканирование - результаты поменялись, относительно того, который был в первом посте.
    Вложения Вложения

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    virusinfo_syscure
    virusinfo_syscheck

    Нам необходимы эти логи и лог HJT
    Microsoft Most Valuable Professional in Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    25
    Вес репутации
    33
    Цитата Сообщение от akoK Посмотреть сообщение
    virusinfo_syscure
    virusinfo_syscheck

    Нам необходимы эти логи и лог HJT
    Вот
    Вложения Вложения

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
    O21 - SSODL: msuq32.dll - {4481B4FD-0027-0CBA-78D9-D3AC728F6EA7} - (no file)
    Отключите это:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    Более ничего плохого не наблюдается.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    25
    Вес репутации
    33
    Всё сделал. Но положительного эффекта не достиг

    Вытащил винт снова, просканировал его на другой машине. Нашел 3 зараженных файла.

    G:\WINDOWS\system32\msrb.exe инфицирован Win32.HLLM.Graz
    G:\Documents and Settings\elena\Local Settings\Temp\exe3.tmp инфицирован Win32.HLLM.Graz
    G:\Documents and Settings\elena\Local Settings\Temp\exe11.tmp инфицирован Win32.HLLM.Graz

    Странно, что они не нашлись вчера. Удалил их.
    Поставил винт обратно, запустил установку DrWeb - запустилась и прошла Спасибо отвечавшим !

    Попробовал загрузиться в безопасном режиме - не грузится, ошибка та же

    Загрузился в нормальном режиме, запустил avz, прогнал скрипт сбора информации для раздела "помогите". Там есть строчки типа:
    Функция kernel32.dll : LoadLibraryA (578 ) перехвачена, метод APICodeHijack.JmpTo[600D2802]

    Надо бояться или это побочный эффект от полезных программ ?
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Файл C:\Documents and Settings\elena\Рабочий стол\ДискF.bat знаком?
    В остальном вроде бы все чисто, эти строчки о перехватах - это нормально.
    Попробуйте:
    Код:
    begin
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    safe mode вернется?

  13. #12
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    25
    Вес репутации
    33
    Цитата Сообщение от rubin Посмотреть сообщение
    Файл C:\Documents and Settings\elena\Рабочий стол\ДискF.bat знаком?
    В остальном вроде бы все чисто, эти строчки о перехватах - это нормально.
    ДискF.bat - это подключение сетевых дисков, это нужно.

    Цитата Сообщение от rubin Посмотреть сообщение
    Попробуйте:
    Код:
    begin
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    safe mode вернется?
    не вернулся
    ладно, вроде ничем не проявляется зверье, комп забрали (главбух) если что проявится снова - буду смотреть.

    Всем спасибо огромное, что не пришлось винду переставлять

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,549
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\msuq32.dll - Worm.Win32.Feebs.nj (DrWEB: Win32.HLLM.Graz)


  • Уважаемый(ая) mike2100, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Функция user32.dll перехвачена
      От den901 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.09.2011, 14:51
    2. Функция kernel32.dll перехвачена. Вирус?
      От ramses77 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.03.2009, 01:00
    3. Функция NtUnloadKey (107) перехвачена
      От MCat в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 02:28
    4. Функция NtConnectPort (1F) перехвачена
      От gafan2 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 02:28
    5. Функция NtConnectPort (1F) перехвачена
      От vibor1 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.03.2008, 13:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01426 seconds with 24 queries