Access violation

[Pandaemanaeon]

Здравствуйте. Компьютер при старте WinXP долго загружается. Проводник открывается за пару минут. Точнее это со всеми программами. При запуске AVZ каждую секунду выскакивает окошко "Access violation at address 004E2F11". Логи делал полиморфным. Заранее спасибо за помощь.

[PavelA]

Зачем Вы все логи в один архив запихали?
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\ests.exe','');
 QuarantineFile('C:\WINDOWS\system32\semdpx.sys','');
 QuarantineFile('semdpp.dll','');
 DelBHO('{EB8F177F-EAD2-44f8-BB4E-0E967F90BE21}');
 DelBHO('{CE1B52DB-F55E-4135-B22B-6529EF90EA52}');
 DelBHO('{0B36D47C-7613-4b8d-89DA-809F66DE9B31}');
QuarantineFile('C:\WINDOWS\system32\semdpx.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин по Правилам.

[Pandaemanaeon]

Скрипт выполнил. Ничего не изменилось + слетел НОД32 - 4

[PavelA]

Карантин не прислали и это неправильно. Пришлите его обязательно и по Правилам.

Скриптом я только взял в карантин файлы и зачистил немного мусора.
Вашу левую активацию Нода я не трогал.

[Pandaemanaeon]

Высылаю карантин.
P.S. Нод вообщето лицензия. Просто обновление с зеркала.

[PavelA]

Карантин отсюда удалите и через красную ссылку загрузите.

За Нода извиняйте, уж очень похоже на одну из его "ломалок".

[Pandaemanaeon]

Карантин закачал.

[Rene-gad]

C:\WINDOWS\system32\semdpp.dll - Trojan-Spy.Win32.Goldun.czf

- Обновите базы АВЗ: (Файл/Обновление баз).

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\semdpp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:

- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Pandaemanaeon]

Скрипт выполнил. ПК Работать стал как обычно, но AVZ не запускается (та же ошибка "Access violation at address 004E2F11"). Делать ли логи полиморфным АВЗ-ом без обновленных баз?
ЗЫ Ну почти как обычно.... Опера тупит. Радмином зато работается хорошо на другом компе.

[PavelA]

Делайте логи полиморфным.

C:\WINDOWS\system32\semdpx.sys - вот это поищите через AVZ.

[Pandaemanaeon]

semdpx.sys удалил AVZ-дом. Логи делал полиморфным.

ЗЫ я так понимаю addstop удалять АВЗ-дом?

[PavelA]

Можно просто прислать на проверку через AVZ или проверить его на Вирустотал.

[Pandaemanaeon]

Выслал карантин

[PavelA]

Кибер сказал, что файл чистый. На него можно не грешить.

[Pandaemanaeon]

Павел,гляньте пожалуйста ещё утренние логи. Думал всё, аки кажется что нет.
Все вроде работает как обычно, Опера страницы не открывает ... часики крутятся и всё.

[PavelA]

Профиксить:

Код:

O20 - Winlogon Notify: semdpp - semdpp.dll (file missing)

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');

BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

прислать карантин за сегодняшнее число.

[Pandaemanaeon]

Еще раз логи высылаю после фикса и выполнения скрипта.

[Rene-gad]

- Очистите темп-папки, кэш проводников и корзину.
- Сделайте лог полного сканирования MBAM.

[PavelA]

xinstall.sys - чистый.

Временные файлы Интернета надо почистить.

Можно профиксить:

Код:

R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\ASU11\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

Более ничего плохого не наблюдаю.

[Pandaemanaeon]

Пофиксил ... темп почистил cclener-ом... лог прилагаю

AVZ так и не запускается