Добрый день!
При открытии любого приложения выскакивает ошибка "Инструкция по адресу 0х0012а0с9 обратилась к памяти по адресу 0х001а4000.Память не может быть read".Dr web сразу же валится с этим окном.
Printable View
Добрый день!
При открытии любого приложения выскакивает ошибка "Инструкция по адресу 0х0012а0с9 обратилась к памяти по адресу 0х001а4000.Память не может быть read".Dr web сразу же валится с этим окном.
Отключите Антивирус и Интернет!
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:WLCtrl32.dll,Pfl58.sys,правая кнопка мыши Force Delete.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\BN4.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN3.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN2.tmp','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tmp65.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lft24.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hyf41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hiw05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Erg53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ata04.sys','');
QuarantineFile('C:\WINDOWS\system32\12520437z.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Pfl58.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteService('Ata04');
DeleteService('Hiw05');
DeleteService('Lft24');
DeleteService('Tmp65');
DeleteService('symavc32');
DeleteService('Hyf41');
DeleteService('Pfl58');
DeleteService('Erg53');
DeleteService('MessengerCiSvc');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Pfl58.sys');
DeleteFile('C:\WINDOWS\system32\12520437z.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Ata04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Erg53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hiw05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hyf41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lft24.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tmp65.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\Temp\BN2.tmp');
DeleteFile('C:\WINDOWS\Temp\BN3.tmp');
DeleteFile('C:\WINDOWS\Temp\BN4.tmp');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{00534B55-3155-CA4F-B41D-0E922121D03C}');
DelBHO('{0000DE80-AEC3-70C3-4176-CE509063E000}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Ata04 ');
BC_DeleteSvc('Hiw05 ');
BC_DeleteSvc('Lft24 ');
BC_DeleteSvc('Tmp65 ');
BC_DeleteSvc('symavc32 ');
BC_DeleteSvc('Hyf41 ');
BC_DeleteSvc('Pfl58 ');
BC_DeleteSvc('Erg53 ');
BC_DeleteSvc('MessengerCiSvc ');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21818[/url]
Повторите логи.
Выкладываю HiJackThis log.Его удалось сделать с 3 попытки..
[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]
карантин закачал.Логи щас делаются
Вот лог который не смог прикрепить
Лог HijackThis нужен после выполнения скрипта,карантина аж на 6,6МБ:)
Карантин:
BN2.tmp,BN3.tmp,BN4.tmp-[B]Trojan-Downloader.Win32.Agent.mkb [/B]
ntos.exe-[B]Trojan-Spy.Win32.Zbot.bbi [/B]
Еще раз перезалить эти файлы которые в посте или не надо?
Да,нужны свежий протоколы после выполнения скрипта
Угу.Минут через 15-20 будут
Не прикрепить те же самые, а сделать новые и прикрепить.
[quote=kps;218192]Не прикрепить те же самые, а сделать новые и прикрепить.[/quote]
Знаю.Правила читал.Вот свежие логи..
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите лог virusinfo_syscheck.
Лог.
Чисто,жалобы есть?
Спасибо.Жалоб нету ))).Клиент доволен.