переодическая ошибка с000021а

Printable View

16.11.2010, 10:46
w03zd8rc

переодическая ошибка с000021а

Логи:
16.11.2010, 11:18
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 184.82.80.47 vkontakte.ru
O1 - Hosts: 184.82.80.47 VK.ru
O1 - Hosts: 184.82.80.47 odnoklassniki.ru
O1 - Hosts: 184.82.80.47 odnoklasniki.ru[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('C:\Program Files\htv\htv.007','');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(13);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Прокси сами прописывали? - [CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = [B]192.168.1.200:3128[/B]
[/CODE]

- [B]C:\Program Files\htv\htv.007[/B] - имеете представление о том, что это?
16.11.2010, 11:26
Aleksandra

[QUOTE=Olejah;732950]- [B]C:\Program Files\htv\htv.007[/B] - имеете представление о том, что это?[/QUOTE]
От него:

[QUOTE]C:\Program Files\HTV\HTV.exe >>>>> Monitor.Win32.Ardamax.ae успешно удален[/QUOTE]
16.11.2010, 12:07
w03zd8rc

прокси сам прописывал, htv это был кейлогер когдато давно для особо непослушных (антивирь потом сам с ним расправился вроде)
Карантин высылаю
16.11.2010, 12:10
olejah

Повторите логи. C:\Program Files\htv - если Вам сие не нужно, можем зачистить.
16.11.2010, 12:40
w03zd8rc

Olejah там от него осталось то пара хелп-файлов да логи только. Логи АВЗ высылаю.
16.11.2010, 12:48
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повторите лог [B]virusinfo_syscheck.zip[/B]
16.11.2010, 13:15
w03zd8rc

выкладываю:
16.11.2010, 13:24
olejah

Вы скрипты точно выполняете? Я этот файл - C:\WINDOWS\system32\rescue32.exe, уже второй раз удаляю, а он сидит опять. Такое с превого раза удаляется.
16.11.2010, 13:28
w03zd8rc

выполнил все до последней буквы. Может его обратно чтото возвращает? Он не может быть библиотекой реадмина (Radmin)?
16.11.2010, 13:36
olejah

Нет, это отдельный троян. Выполните скрипт из поста №7 в безопасном режиме, после чего повторите лог virusinfo_syscheck.zip.
16.11.2010, 14:11
w03zd8rc

[COLOR="White"]1[/COLOR]
16.11.2010, 14:14
olejah

Ок, убили. Теперь по поводу ошибки -

- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите [url="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Сервис Пак 3[/url] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить [b][color="Red"]все защитные приложения[/color][/b] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
17.11.2010, 14:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\htv\\htv.007 - [B]not-a-virus:Monitor.Win32.Ardamax.o[/B] ( DrWEB: Trojan.DownLoad3.7889, BitDefender: Application.Keylogger.Ardamax.Gen, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\rescue32.exe - [B]Trojan-Spy.Win32.BZub.jaj[/B] ( DrWEB: Trojan.DownLoader1.36945, BitDefender: Trojan.Generic.5122445, NOD32: Win32/Spy.Ranbyus.A trojan, AVAST4: Win32:Spyware-gen [Spy] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]