После загрузки Windows при запуске любого приложения вылетает ошибка "Ошибка при инициализации приложения 0xc0000005"
Printable View
После загрузки Windows при запуске любого приложения вылетает ошибка "Ошибка при инициализации приложения 0xc0000005"
Пофиксить в Hijack следующие строки:
[CODE]O20 - Winlogon Notify: crypt - crypts.dll (file missing)[/CODE]
Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Ratlogonmdt');
QuarantineFile('Ratlogonmdt.sys','');
QuarantineFile('%system32%\crypts.dll','');
DeleteFile('%system32%\crypts.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt','DLLName');
DeleteFile('Ratlogonmdt.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
Executerepair(6);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
новые логи
Сделайте лог Gmer.
сделан лог Gmer
Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна обнаружить буткит:
[CODE]Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR[/CODE]
Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге.
Пришлите содержимое первого сектора по правилам. Пролечитесь Dr.Web CureIt!, сделаете новый лог Gmer.
запустил сканирование, после окончания пришлю лог от Gmer
первый сектор
[QUOTE='shapel;542338'] Пролечитесь Dr.Web CureIt!, сделаете новый лог Gmer[/QUOTE] Сделайте.
При сканировании Dr.Web CureIt, находит Trojan.WinSpy.440. При попытке лечить компьютер уходит в перезагрузку. То же самое происходит и при загрузке в безопасном режиме.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
C:\WINDOWS\system32\sfcfiles.dll
[size="1"][color="#666686"][B][I]Добавлено через 54 секунды[/I][/B][/color][/size]
удалить вручную не дает
Там у Вас еще зверь есть. Потому лучше выполните ниженаписанное
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
К сожалению поздно увидел новое предложение по лечению. Файл sfcfiles.dll заменил с другого компьютера, потому как в dllcashe такого не оказалось. После замены просканировал Gmer. Строка Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR осталась. Сканируется весь диск Dr.Web CureIt. После сканирования актуально выполнение скрипта??
[QUOTE]После сканирования актуально выполнение скрипта?? [/QUOTE]
Нет!!!! Сделайте новые логи!
Полностью просканировал диск. Программы начали запускаться. Новые логи прикладываю
Сделайте лог Gmer
Сделал лог gmer
Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\Drivers\m5287.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Скачайте AVPtool и просканируйте ПК. Сделайте новый лог Gmer.
карантин закачан. Сканирую AVPtool
Просканировал AVPtool ничего не обнаружил. Лог Gmer прилагаю.
Проблемы решены?