При попытке запустить любое приложение выдается сообщение иструкция по адресу ... обратилась к памяти по адресу .... память не может быть "read", если окно не закрывать, а второй раз запустиь приложение. то оно запуститься.
Помогите пожалуйста.
При попытке запустить любое приложение выдается сообщение иструкция по адресу ... обратилась к памяти по адресу .... память не может быть "read", если окно не закрывать, а второй раз запустиь приложение. то оно запуститься.
Помогите пожалуйста.
Выполнить:
Сделать новые логи. Загрузить карантин через красную ссылку вверху.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Vpv68.sys',''); SetServiceStart('Vpv68', 4); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Cкриншот этого сообщения можете сделать?Сообщение от sauders
это выдает когда запускаешь интернет эксплорер
скрипт выполнил
логи высылаю
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи с п.10 правилКод:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Vpv68'); DeleteFile('C:\WINDOWS\system32\Drivers\Vpv68.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Vpv68 '); BC_Activate; RebootWindows(true); end.
скрипт запустил, логи присоединяю
пофиксите ...
віполните скрипт ...Код:O2 - BHO: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - AutorunsDisabled - (no file) O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
пришлите карантин согласно приложения 3 правил ...Код:begin QuarantineFile('E:\Programs\System\cron\cron.exe',''); end.
АВЗ-Мастер поиска и устранения проблем - вібрать все - устранить ...
если првально понял то в HiJackThis.exe сделал скан выделил указаные пункты и нажал fixchecked. последний 24 пункт не исчез, карантин выслал
Добавлено через 10 минут
Выявил 4 проблемы:
1. ограничение отображения дисков в проводнике - делал сам. не виден диск ф: используется для архивации
2. меню пуск заблокированы элементы - делал сам не отображаются недавно используемые документы
3. разрешен автозапуск с СД не уверен что это проблема
4. Отключено автоматическое обновление Виндоус- -отключал сам
соответственно ничего не исправлял. если что-то критично. могу исправить
Последний раз редактировалось sauders; 18.06.2008 в 00:01. Причина: Добавлено
присланный файл чистый ...
больше ничего подозрительного ... что с проблемами ?
Сообщения об ошибке исчезли после первого скрипта (спасибо PavelA )
напрягает вот это вот
Функция NtAlertResumeThread (0C) перехвачена (805D330C->8670A150), перехватчик не определен
Функция NtAlertThread (0D) перехвачена (805D32BC->8670A18, перехватчик не определен
Функция NtAllocateVirtualMemory (11) перехвачена (805A74DE->86724F10), перехватчик не определен
Функция NtConnectPort (1F) перехвачена (805A2FF4->85D1111, перехватчик не определен
Функция NtCreateMutant (2B) перехвачена (8061548C->85B87EB0), перехватчик не определен
Функция NtCreateThread (35) перехвачена (805CF804->85B9CD40), перехватчик не определен
Функция NtDeleteValueKey (41) перехвачена (806226A8->AE6C1CC0), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (53) перехвачена (805B1946->85BC51B, перехватчик не определен
Функция NtImpersonateAnonymousToken (59) перехвачена (805F722E->85B87E7, перехватчик не определен
Функция NtImpersonateThread (5B) перехвачена (805D5F90->8670A11, перехватчик не определен
Функция NtMapViewOfSection (6C) перехвачена (805B09CE->85BCC9C0), перехватчик не определен
Функция NtOpenEvent (72) перехвачена (8060CE76->85C6C140), перехватчик не определен
Функция NtOpenProcessToken (7B) перехвачена (805EBF10->85D411B, перехватчик не определен
Функция NtOpenThreadToken (81) перехвачена (805EBF2E->85AC6180), перехватчик не определен
Функция NtQueryValueKey (B1) перехвачена (80620102->85C84810), перехватчик не определен
Функция NtResumeThread (CE) перехвачена (805D3148->85ABA150), перехватчик не определен
Функция NtSetContextThread (D5) перехвачена (805CFF26->85BE19C0), перехватчик не определен
Функция NtSetInformationProcess (E4) перехвачена (805CC690->85B87E0, перехватчик не определен
Функция NtSetInformationThread (E5) перехвачена (805CA914->85C3170, перехватчик не определен
Функция NtSetValueKey (F7) перехвачена (80620708->AE6C1F20), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (805D3210->85C6C17, перехватчик не определен
Функция NtSuspendThread (FE) перехвачена (805D3082->85AC4BE0), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805D1170->85AC2120), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805D136A->85AC4BA, перехватчик не определен
Функция NtUnmapViewOfSection (10B) перехвачена (805B17DC->85B87E40), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805B2D5C->85D446F, перехватчик не определен
не знаю нормально это или нет.
к такому состоянию я приходил уже 2 раза используя восстановление системы, и каждый раз ошибка снова появлялась один раз через день второй раз на следующий день. Последний раз не смог вернуться т.к. согласно рекомендации отключил восстановление системы и точки восстановления стерлись
перехваты от вашего антивируса ....
вчера после восстановления системы запускал АВЗ
были только эти перехваты
собщений об ошибке не было
сегодня вылезло собщение (уже в третий раз)
ошибка может быть связана с какой-то вполне легальной программой , отсутствием обновлений системы , кривым железом ...
Я предополагал, что это проблема с железом. только исчезала она после восстановления системы, последний раз исчезла после запуска скрипта, с софтом проблемы врядли, т. к. сообщение об ошибке вылезало при запуске любого приложения. даже мой компьютер -> свойства, при этом если окно с ошибкой не закрывать то дальше все работает просто сказочно. все запускается, причем не важно от какой программы это окно
попробуйте отредактировать Boot.ini замените /noexecute=OptIn на /noexecute=AlwaysOff
перегрузитесь
Спасибо большое за помощь, но не думаю что дело в ДЭП, изначально в первом логе видно что были еще перехваты
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919B88->1350E8
Функция ntdll.dlldrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9161CA->135126
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D7D2->1350B5
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90DF5E->1351F1
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:EndDialog (199) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D46CC9->134DEA
Функция user32.dll:GetClipboardData (25 перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5FCB2->1354F9
Функция user32.dll:GetMessageA (315) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5EA45->1357D2
Функция user32.dll:GetMessageW (319) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D391A3->1357FE
Функция user32.dlleekMessageA (510) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D3CEFD->13582A
Функция user32.dlleekMessageW (511) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D39278->135859
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0C69->134D84
Функция ws2_32.dll:WSASend (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A96233->140507
Функция ws2_32.dll:WSASendTo (7 перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0A95->1404EC
Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->1404DC
Функция ws2_32.dll:connect (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9406A->134DC8
Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->140573
Функция ws2_32.dll:sendto (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A92C69->14053D
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpQueryInfoA (205) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B8C6A->13F323
Функция wininet.dll:HttpQueryInfoW (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C7756->13F374
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B76B8->13FEEA
Функция wininet.dll:HttpSendRequestExA (20 перехвачена, метод ProcAddressHijack.GetProcAddress ->7720190D->13FFCF
Функция wininet.dll:HttpSendRequestExW (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C53EB->13FFB2
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->77201808->13FECA
Функция wininet.dll:InternetCloseHandle (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B61DC->13F798
Функция wininet.dll:InternetQueryDataAvailable (26 перехвачена, метод ProcAddressHijack.GetProcAddress ->771C325F->13F948
Функция wininet.dll:InternetReadFile (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B9555->13F8E6
Функция wininet.dll:InternetReadFileExA (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E7E9A->13F927
Функция wininet.dll:InternetReadFileExW (274) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E88D6->13F906
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
эти прехваты были исправлены после выполнения 1 ого скрипта, надеюсь что и причина этих перехватов была исправлна, если появятся вновь обязательно напишу. Я так понимаю это был руткит. можно было еге зацепить на сайте? ЕСли я дам ссылку на предполагаемый сайт его можно будет проверить?
да у вас был руткит .... сейчас он удален ... ссылку можете дать только "не живую"
а как господин PavelA узнал что нужно удалить файл ntos.exe
и что это за сервис Vpv68, я такого у себя не видел
Всё это было в логах.
Уважаемый(ая) sauders, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.