Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Не грузятся приложения память не может быть read (заявка № 24759)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58

    Exclamation Не грузятся приложения память не может быть read

    При попытке запустить любое приложение выдается сообщение иструкция по адресу ... обратилась к памяти по адресу .... память не может быть "read", если окно не закрывать, а второй раз запустиь приложение. то оно запуститься.
    Помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Vpv68.sys','');
     SetServiceStart('Vpv68', 4);
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи. Загрузить карантин через красную ссылку вверху.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от sauders
    При попытке запустить любое приложение выдается сообщение иструкция по адресу ...
    Cкриншот этого сообщения можете сделать?

  5. #4
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58

    скриншот

    это выдает когда запускаешь интернет эксплорер
    Изображения Изображения

  6. #5
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58

    новые логи

    скрипт выполнил
    логи высылаю
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Vpv68');
     DeleteFile('C:\WINDOWS\system32\Drivers\Vpv68.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Vpv68 ');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи с п.10 правил

  8. #7
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58

    сделал

    скрипт запустил, логи присоединяю
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O2 - BHO: (no name) - AutorunsDisabled - (no file)
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
    віполните скрипт ...
    Код:
    begin
     QuarantineFile('E:\Programs\System\cron\cron.exe','');
    end.
    пришлите карантин согласно приложения 3 правил ...
    АВЗ-Мастер поиска и устранения проблем - вібрать все - устранить ...

  10. #9
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58

    сделал

    если првально понял то в HiJackThis.exe сделал скан выделил указаные пункты и нажал fixchecked. последний 24 пункт не исчез, карантин выслал

    Добавлено через 10 минут

    Выявил 4 проблемы:
    1. ограничение отображения дисков в проводнике - делал сам. не виден диск ф: используется для архивации
    2. меню пуск заблокированы элементы - делал сам не отображаются недавно используемые документы
    3. разрешен автозапуск с СД не уверен что это проблема
    4. Отключено автоматическое обновление Виндоус- -отключал сам

    соответственно ничего не исправлял. если что-то критично. могу исправить
    Последний раз редактировалось sauders; 18.06.2008 в 00:01. Причина: Добавлено

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    присланный файл чистый ...
    больше ничего подозрительного ... что с проблемами ?

  12. #11
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58

    Что с проблемами

    Сообщения об ошибке исчезли после первого скрипта (спасибо PavelA )
    напрягает вот это вот
    Функция NtAlertResumeThread (0C) перехвачена (805D330C->8670A150), перехватчик не определен
    Функция NtAlertThread (0D) перехвачена (805D32BC->8670A18, перехватчик не определен
    Функция NtAllocateVirtualMemory (11) перехвачена (805A74DE->86724F10), перехватчик не определен
    Функция NtConnectPort (1F) перехвачена (805A2FF4->85D1111, перехватчик не определен
    Функция NtCreateMutant (2B) перехвачена (8061548C->85B87EB0), перехватчик не определен
    Функция NtCreateThread (35) перехвачена (805CF804->85B9CD40), перехватчик не определен
    Функция NtDeleteValueKey (41) перехвачена (806226A8->AE6C1CC0), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtFreeVirtualMemory (53) перехвачена (805B1946->85BC51B, перехватчик не определен
    Функция NtImpersonateAnonymousToken (59) перехвачена (805F722E->85B87E7, перехватчик не определен
    Функция NtImpersonateThread (5B) перехвачена (805D5F90->8670A11, перехватчик не определен
    Функция NtMapViewOfSection (6C) перехвачена (805B09CE->85BCC9C0), перехватчик не определен
    Функция NtOpenEvent (72) перехвачена (8060CE76->85C6C140), перехватчик не определен
    Функция NtOpenProcessToken (7B) перехвачена (805EBF10->85D411B, перехватчик не определен
    Функция NtOpenThreadToken (81) перехвачена (805EBF2E->85AC6180), перехватчик не определен
    Функция NtQueryValueKey (B1) перехвачена (80620102->85C84810), перехватчик не определен
    Функция NtResumeThread (CE) перехвачена (805D3148->85ABA150), перехватчик не определен
    Функция NtSetContextThread (D5) перехвачена (805CFF26->85BE19C0), перехватчик не определен
    Функция NtSetInformationProcess (E4) перехвачена (805CC690->85B87E0, перехватчик не определен
    Функция NtSetInformationThread (E5) перехвачена (805CA914->85C3170, перехватчик не определен
    Функция NtSetValueKey (F7) перехвачена (80620708->AE6C1F20), перехватчик C:\Program Files\Symantec\SYMEVENT.SYS, драйвер опознан как безопасный
    Функция NtSuspendProcess (FD) перехвачена (805D3210->85C6C17, перехватчик не определен
    Функция NtSuspendThread (FE) перехвачена (805D3082->85AC4BE0), перехватчик не определен
    Функция NtTerminateProcess (101) перехвачена (805D1170->85AC2120), перехватчик не определен
    Функция NtTerminateThread (102) перехвачена (805D136A->85AC4BA, перехватчик не определен
    Функция NtUnmapViewOfSection (10B) перехвачена (805B17DC->85B87E40), перехватчик не определен
    Функция NtWriteVirtualMemory (115) перехвачена (805B2D5C->85D446F, перехватчик не определен

    не знаю нормально это или нет.
    к такому состоянию я приходил уже 2 раза используя восстановление системы, и каждый раз ошибка снова появлялась один раз через день второй раз на следующий день. Последний раз не смог вернуться т.к. согласно рекомендации отключил восстановление системы и точки восстановления стерлись

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    перехваты от вашего антивируса ....

  14. #13
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58
    вчера после восстановления системы запускал АВЗ
    были только эти перехваты
    собщений об ошибке не было
    сегодня вылезло собщение (уже в третий раз)

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ошибка может быть связана с какой-то вполне легальной программой , отсутствием обновлений системы , кривым железом ...

  16. #15
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58
    Я предополагал, что это проблема с железом. только исчезала она после восстановления системы, последний раз исчезла после запуска скрипта, с софтом проблемы врядли, т. к. сообщение об ошибке вылезало при запуске любого приложения. даже мой компьютер -> свойства, при этом если окно с ошибкой не закрывать то дальше все работает просто сказочно. все запускается, причем не важно от какой программы это окно

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    попробуйте отредактировать Boot.ini замените /noexecute=OptIn на /noexecute=AlwaysOff
    перегрузитесь

  18. #17
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58
    Спасибо большое за помощь, но не думаю что дело в ДЭП, изначально в первом логе видно что были еще перехваты
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dlldrGetProcedureAddress (65) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C919B88->1350E8
    Функция ntdll.dlldrLoadDll (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C9161CA->135126
    Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D7D2->1350B5
    Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90DF5E->1351F1
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:EndDialog (199) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D46CC9->134DEA
    Функция user32.dll:GetClipboardData (25 перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5FCB2->1354F9
    Функция user32.dll:GetMessageA (315) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D5EA45->1357D2
    Функция user32.dll:GetMessageW (319) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D391A3->1357FE
    Функция user32.dlleekMessageA (510) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D3CEFD->13582A
    Функция user32.dlleekMessageW (511) перехвачена, метод ProcAddressHijack.GetProcAddress ->77D39278->135859
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:WSAConnect (33) перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0C69->134D84
    Функция ws2_32.dll:WSASend (76) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A96233->140507
    Функция ws2_32.dll:WSASendTo (7 перехвачена, метод ProcAddressHijack.GetProcAddress ->71AA0A95->1404EC
    Функция ws2_32.dll:closesocket (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A99639->1404DC
    Функция ws2_32.dll:connect (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9406A->134DC8
    Функция ws2_32.dll:send (19) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A9428A->140573
    Функция ws2_32.dll:sendto (20) перехвачена, метод ProcAddressHijack.GetProcAddress ->71A92C69->14053D
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Функция wininet.dll:HttpQueryInfoA (205) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B8C6A->13F323
    Функция wininet.dll:HttpQueryInfoW (206) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C7756->13F374
    Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B76B8->13FEEA
    Функция wininet.dll:HttpSendRequestExA (20 перехвачена, метод ProcAddressHijack.GetProcAddress ->7720190D->13FFCF
    Функция wininet.dll:HttpSendRequestExW (209) перехвачена, метод ProcAddressHijack.GetProcAddress ->771C53EB->13FFB2
    Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод ProcAddressHijack.GetProcAddress ->77201808->13FECA
    Функция wininet.dll:InternetCloseHandle (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B61DC->13F798
    Функция wininet.dll:InternetQueryDataAvailable (26 перехвачена, метод ProcAddressHijack.GetProcAddress ->771C325F->13F948
    Функция wininet.dll:InternetReadFile (272) перехвачена, метод ProcAddressHijack.GetProcAddress ->771B9555->13F8E6
    Функция wininet.dll:InternetReadFileExA (273) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E7E9A->13F927
    Функция wininet.dll:InternetReadFileExW (274) перехвачена, метод ProcAddressHijack.GetProcAddress ->771E88D6->13F906
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text

    эти прехваты были исправлены после выполнения 1 ого скрипта, надеюсь что и причина этих перехватов была исправлна, если появятся вновь обязательно напишу. Я так понимаю это был руткит. можно было еге зацепить на сайте? ЕСли я дам ссылку на предполагаемый сайт его можно будет проверить?

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    да у вас был руткит .... сейчас он удален ... ссылку можете дать только "не живую"

  20. #19
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    10
    Вес репутации
    58

    еще вопрос

    а как господин PavelA узнал что нужно удалить файл ntos.exe
    и что это за сервис Vpv68, я такого у себя не видел

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Всё это было в логах.

  • Уважаемый(ая) sauders, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 17.01.2011, 13:47
    2. Ощибка приложения - память не может быть "read"
      От Zheltopusik в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.06.2010, 12:59
    3. память не может быть read
      От sanches911 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.02.2010, 22:19
    4. Ответов: 12
      Последнее сообщение: 28.06.2009, 20:41
    5. Ответов: 13
      Последнее сообщение: 23.06.2009, 06:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00004 seconds with 20 queries