-
Junior Member
- Вес репутации
- 57
Ошибка приложения lsass.exe
После загрузки,при подключенной сети выдает ошибку приложения lsass.exe,инструкция по адресу "XXXXX" обратилась к памяти по адресу "ХХХХХ". Память не может быть "written". При нажатии "ОК" или "Отмена" выдает окошко что система будет перезагружена через 1 мин.и комп уходит в ребут. Если не трогать окошко можна работать далее...Проверка DrWeb и Virus Removal Tool не дала результатов. Opera, приложения MS Office и ряд других приложений не запускаются (ошибка приложения). В различных директориях создаютя файлы tmp.tmp включая рабочий стол.
Помогите. Заранее благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Wtv.exe','');
DeleteService('nvglpjyh');
QuarantineFile('C:\WINDOWS\system32\drivers\rmjfgpiysrtdiv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\rmjfgpiysrtdiv.sys');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Wtv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BMIMZMHMFM');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DelCLSID('{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
QuarantineFile('\\?\globalroot\systemroot\system32\Kk0h6cH.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\Kk0h6cH.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('\\?\globalroot\systemroot\system32\Kk0h6cH.exe');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 57
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Wtv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Wtv.exe');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 57
-
чисто
Осталось обновить систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.3 или удалите старый.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\kk0h6ch.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20385, AVAST4: Win32:Rootkit-gen [Rtk] )
-