-
Junior Member
- Вес репутации
- 58
Посыпались окна с ошибкой "память не может быть прочитана"
Недавно зашел в гости к знакомой, были жалобы на вирус какой то и появляющиеся окошки с сообщением "блабла не может быть прочитана память".
Скачал Курю, запустил. в процессе Куря вышибла систему, после ребута повторил всё. Нашлось 2 вируса, вирусы были удалены.
Запустил Avz, прога нашла пару проблем, сообщила об подмененном exploler-е. "Пофиксил" проблему. Но теперь и перед выключением/перезагрузкой стало появляться окно с ошибками.
IE не запускается, выпадает с аналогичной ошибкой
"Инструкция по адресу хххх обратилась к памяти по адресу уууу. Память не может быть "read"
файлы прилагаются.
с Уважением
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\LOCALS~1\Temp\kui132.tmp
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kui132.tmp','');
QuarantineFile('C:\driversxxx.exe\driversxxx.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jbqv.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jbqv.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kui132.tmp');
DeleteFile('c:\windows\Tasks\Windows Update.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 58
После выполнения скриптов "помощи" окно с ошибкой перестало появляться, но ИЕ так и вываливался. Сделав ребут, получил опять всплывающие окна с ошибкой explorer.exe
логи приложил
-
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
- После обновления сделать новые логи
-
-
Junior Member
- Вес репутации
- 58
-
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\windowsxxx.exe\windowsxxx.exe','');
DeleteFile('C:\windowsxxx.exe\windowsxxx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','windowsxxx.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','windowsxxx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','driversxxx.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','driversxxx.exe');
QuarantineFile('C:\webtrustsx.exe\webtrustsx.exe','');
DeleteFile('C:\webtrustsx.exe\webtrustsx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','webtrustsx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','webtrustsx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','webtrustsx.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','webtrustsx.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','webtrustsx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','driversxxx.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','driversxxx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 58
скрипты выполнил. логи и карантин прилагаются.
осталась проблема с сообщением программы psiservice_2.exe при выключении или перезагрузки ноутбука - процесс обратился по адресу...
-
Подозрительного нет, если проблема осталась, можно сделать лог МВАМ
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\webtrustsx.exe\\webtrustsx.exe - Trojan-Dropper.Win32.VB.apyu ( DrWEB: Trojan.Siggen2.2772, BitDefender: Trojan.Generic.4802518, AVAST4: Win32:Malware-gen )
-