Ошибка в Explorer.exe

Printable View

07.10.2009, 17:11
rez4ik

Вложений: 3

Ошибка в Explorer.exe

Здраствуйте
Частенько при вырезании, копировании или удалении, а порой и при запуске какого-нибудь приложения вылетает ошибка Explorer.exe "инструкция по адресу "0x774ed376" обратилась по адресу "0x00000005". Память не может быть "written" или "read"". Адреса не постоянны, в основном разные.
Ошибка эта стала вылазить примерно неделю назад и вылетает она только на новых установленных программах. Те проги, которые стояли до появления ошибки работают нормально, без косяков.
Помогите пожалуйста, многое перепробовал, ничего не помогло
07.10.2009, 17:16
gjf

[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/URL]
[I]gmer.log[/I]
07.10.2009, 17:49
rez4ik

Я его запустил и после автоматической проверки он мне выдал окно
"GMER:
Gmer has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan yiur system?"(ну и "да" или "нет")
что стоит нажать?
07.10.2009, 17:58
snifer67

нажмите [b]Yes[/b]
07.10.2009, 18:09
gjf

Где лог?
07.10.2009, 18:13
rez4ik

gmer еще сканирует...
07.10.2009, 18:13
gjf

Хорошо, ждём.
07.10.2009, 18:29
rez4ik

"-попингуй сервер
-сам попингуй
-от попингуя слышу"
Долго проверяет...
07.10.2009, 19:05
gjf

Я через час вернусь. Тогда и продолжим :)
07.10.2009, 19:56
rez4ik

можешь не торопиться. еще проверяет...
07.10.2009, 19:58
rez4ik

Урааа!!!! Закончил!!!!
07.10.2009, 20:44
gjf

Смотрю....

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]R3 - URLSearchHook: (no name) - *{83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('smbbhtobg');
StopService('uilxrjg');
StopService('vdrv9000');
StopService('vnndtssw');
StopService('yjzvuj');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\smbbhtobg');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\smbbhtobg');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\uilxrjg');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\uilxrjg');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\vdrv9000');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\vdrv9000');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\vnndtssw');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\vnndtssw');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\yjzvuj');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\yjzvuj');
QuarantineFile('svchoste.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Wins3232.exe','');
QuarantineFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe','');
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe','');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\HH9Help.sys','');
QuarantineFile('C:\WINDOWS\system32\snztyu.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\VDRV9000.SYS','');
QuarantineFile('C:\WINDOWS\system32\wuknmk.dll','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Wins3232.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
DeleteFile('svchoste.exe');
DeleteFile('C:\WINDOWS\system32\snztyu.dll');
DeleteFile('C:\WINDOWS\system32\drivers\VDRV9000.SYS');
DeleteFile('C:\WINDOWS\system32\wuknmk.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvcReg('smbbhtobg');
BC_DeleteSvcReg('uilxrjg');
BC_DeleteSvcReg('vdrv9000');
BC_DeleteSvcReg('vnndtssw');
BC_DeleteSvcReg('yjzvuj');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
07.10.2009, 22:18
rez4ik

После проделанных операций в MozilaFirefox не смог выложить логи, ибо отсутствует кнопка "управление вложениями"
загружаю через internetexplorer
вот новые логи
07.10.2009, 22:25
gjf

- [B]Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.[/B]
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1D187332');
DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F187332');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-34CX1C987132');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C735612');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
07.10.2009, 22:41
rez4ik

подождет до утра
спать надо
08.10.2009, 00:14
gjf

Я посовещался с коллегами и изменил предписание. Смотрите пост выше.
08.10.2009, 11:17
rez4ik

не совсем понял насчет первого пункта
"- Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено."
какие зараженные флешки?
08.10.2009, 11:36
gjf

Если у Вас во время лечения в компьютере находились какие-либо флешки - их не вынимать в процессе перезагрузки и выполнения скриптов/повторного сканирования системы.
08.10.2009, 13:04
rez4ik

Вот новые логи
08.10.2009, 13:13
rez4ik

Карантит загрузил
В архиве с карантином AVG нашел трояна
08.10.2009, 13:16
gjf

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)[/CODE]
[B]В обязательном порядке установите Сервис Пак 3[/B] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

[size="1"][color="#666686"][B][I]Добавлено через 34 секунды[/I][/B][/color][/size]

Ну на то он и карантин :)
08.10.2009, 17:43
rez4ik

А у меня итак стоит sp 3
08.10.2009, 17:47
gjf

Шутите? ;)
[QUOTE]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:42, on 08.10.2009
Platform: Windows XP [B]SP2[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer [B]v7.00[/B] (7.00.6000.20772)[/QUOTE]

[QUOTE]Версия Windows: 5.1.2600, [B]Service Pack 2 [/B]; AVZ работает с правами администратора
[/QUOTE]
08.10.2009, 18:17
rez4ik

Посмотрел через Tune Up информацию о системе и вправду sp2
Хотя был sp3 о_О

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

профиксил, поставил sp3
проблема осталась
также во время установки сервис пака вылезла ошибка"иструкция по адресу...."
повторить логи?
08.10.2009, 18:27
gjf

IE8 установили? Последние обновления тоже установили?
08.10.2009, 18:31
rez4ik

Нет, не ставил.
значит надо обновить все, ладно.
Спасибо большое за старания.
08.10.2009, 18:33
gjf

Поставите всё - сделайте логи.
09.10.2009, 18:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]51[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\msxml71.dll - [B]Trojan.Win32.FraudPack.vko[/B] ( DrWEB: Trojan.Fakealert.5396, BitDefender: Trojan.Generic.2537024, NOD32: Win32/TrojanDownloader.FakeAlert.AKY trojan, AVAST4: Win32:FakeAV-SP [Trj] )[/LIST][/LIST]