-
Junior Member
- Вес репутации
- 50
Services.exe ошибка приложения
После удаления антивируса COMODO 3-й версии был установлен COMODO 5-й версии, после перезагрузки появилась ошибка перед входом в систему (services.exe ошибка приложения, инструкция по адресу "0x002a869a" обратилась к памяти по адресу "0x00000000". Память не может быть ""read"
"ОК"-завершение приложения
"Отмена"- отладка приложения)
в безопастном режиме была произведена проверка AVPTool были обнаружены зловреды kido и palevo, после система была просканирована CureIT, зловредов обнаружено не было.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Дополнительно сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 50
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится xbiorchb.exe(GMER) и запустите этот батник(1.bat):
Код:
xbiorchb.exe -del service aghwszqb
xbiorchb.exe -del service hqplz
xbiorchb.exe -del file "C:\WINDOWS\system32\fccumhjy.dll"
xbiorchb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aghwszqb"
xbiorchb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hqplz"
xbiorchb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\aghwszqb"
xbiorchb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hqplz"
xbiorchb.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
К сожалению ошибка так и осталась (services.exe ошибка приложения, инструкция по адресу "0x002a869a" обратилась к памяти по адресу "0x00000000". Память не может быть ""read"
"ОК"-завершение приложения
"Отмена"- отладка приложения)
-
Junior Member
- Вес репутации
- 50
Может еще какой-нибудь лог выложить?
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\support\LOCALS~1\Temp\ugrdypob.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Сообщение от
Olejah
QuarantineFile('C:\DOCUME~1\support\LOCALS~1\Temp\ ugrdypob.sys','');
- Драйвер Гмера.
fr33man,
Попробуйте сделать лог Комбофиксом (как делать есть в "Чаво")
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 50
Вот логи combofix'а, поставил MBAM, к сожалению он ничего не нашел.
-
Напишу коротко, ребята дальше продолжат:
Первое нашлось вот это:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
dnnvjrasi
qjogskks
aghwszqb
hqplz
Второе и это надо зачистить через regedit:
Код:
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2617:TCP"= 2617:TCP:WWW
"8704:TCP"= 8704:TCP:llrvn
вот этого в карантин и прислать на проверку:
Код:
c:\windows\system32\drivers\gikoavli.sys
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
dnnvjrasi
qjogskks
aghwszqb
hqplz
NetSvc:
dnnvjrasi
qjogskks
aghwszqb
hqplz
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8704:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-