-
Access violation
Здравствуйте. Компьютер при старте WinXP долго загружается. Проводник открывается за пару минут. Точнее это со всеми программами. При запуске AVZ каждую секунду выскакивает окошко "Access violation at address 004E2F11". Логи делал полиморфным. Заранее спасибо за помощь.
-
Зачем Вы все логи в один архив запихали?
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ests.exe','');
QuarantineFile('C:\WINDOWS\system32\semdpx.sys','');
QuarantineFile('semdpp.dll','');
DelBHO('{EB8F177F-EAD2-44f8-BB4E-0E967F90BE21}');
DelBHO('{CE1B52DB-F55E-4135-B22B-6529EF90EA52}');
DelBHO('{0B36D47C-7613-4b8d-89DA-809F66DE9B31}');
QuarantineFile('C:\WINDOWS\system32\semdpx.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
-
Скрипт выполнил. Ничего не изменилось + слетел НОД32 - 4
-
Карантин не прислали и это неправильно. Пришлите его обязательно и по Правилам.
Скриптом я только взял в карантин файлы и зачистил немного мусора.
Вашу левую активацию Нода я не трогал.
-
Высылаю карантин.
P.S. Нод вообщето лицензия. Просто обновление с зеркала.
-
Карантин отсюда удалите и через красную ссылку загрузите.
За Нода извиняйте, уж очень похоже на одну из его "ломалок".
-
-
[QUOTE]C:\WINDOWS\system32\semdpp.dll - Trojan-Spy.Win32.Goldun.czf[/QUOTE]
- Обновите базы АВЗ: (Файл/Обновление баз).
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\semdpp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]
После перезагрузки:
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
Скрипт выполнил. ПК Работать стал как обычно, но AVZ не запускается (та же ошибка "Access violation at address 004E2F11"). Делать ли логи полиморфным АВЗ-ом без обновленных баз?
ЗЫ Ну почти как обычно.... Опера тупит. Радмином зато работается хорошо на другом компе.
-
Делайте логи полиморфным.
C:\WINDOWS\system32\semdpx.sys - вот это поищите через AVZ.
-
semdpx.sys удалил AVZ-дом. Логи делал полиморфным.
ЗЫ я так понимаю addstop удалять АВЗ-дом?
-
Можно просто прислать на проверку через AVZ или проверить его на Вирустотал.
-
-
Кибер сказал, что файл чистый. На него можно не грешить.
-
Павел,гляньте пожалуйста ещё утренние логи. :) Думал всё, аки кажется что нет.
Все вроде работает как обычно, Опера страницы не открывает ... часики крутятся и всё.
-
Профиксить:
[CODE]O20 - Winlogon Notify: semdpp - semdpp.dll (file missing)[/CODE]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
прислать карантин за сегодняшнее число.
-
Еще раз логи высылаю после фикса и выполнения скрипта.
-
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
-
xinstall.sys - чистый.
Временные файлы Интернета надо почистить.
Можно профиксить:
[CODE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\ASU11\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll[/CODE]
Более ничего плохого не наблюдаю.
-
Пофиксил ... темп почистил cclener-ом... лог прилагаю
AVZ так и не запускается
-
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ests.exe');
QuarantineFile('c:\windows\ests.exe','');
DeleteFile('c:\windows\ests.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Обновите базы AVZ[/B]
Сделайте новые логи
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалить в MBAM[/URL]
[CODE]Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
Заражено папок:
C:\Documents and Settings\ASU11\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
Заражено файлов:
C:\Documents and Settings\ASU11\Application Data\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
C:\Program Files\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\ASU11\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Program Files\Internet Explorer\rasadhlp.dll (Spyware.Passowrds) -> No action taken.
C:\WINDOWS\system32\a99k.bin (Trojan.Goldun) -> No action taken.[/CODE]
-
Скрипт запустил, в МВАМ удалил что написали. AVZ не запускается, соответственно не могу обновиться.. ошибка та же , что и в начале темы. Подскажите, есть ли полиморфный AVZ со свежими базами? и где?
[size="1"][color="#666686"][B][I]Добавлено через 1 час 29 минут[/I][/B][/color][/size]
Пытался удалить AVZ на винте который (не полиморфный)... ошибка удаления пишет ... скорее всего он коцнутый уже... Удалю сторонними средствами .. скачаю новый ... обновлюсь , проверю винт и пришлю логи.
-
Возьми у меня в подписи, но там несвежий.
-
Блин... Удалил папку с АВЗ-ом при помощи Unlocker. (не мог удилить файлы *.avz). Скачал новый с З-Олег.. При распаковке "Не возможно создать ....*.avz" в любой папке пытался... на другом компе все в порядке. При копировании "Не удается скопировать. Параметр задан неверно". Колдовал с типами файлов .. не помогает. chkdsk проверил .. ошибок нет .Что посоветуете?
-
Запустился ББ в безопасном ... прогнал свежим Cureit-ом ... еще пару зараженных в систем32 удалил ... AVZ обновился ... прогнал ..вроде все нормально .. спасибо большое :)
-
[QUOTE=Pandaemanaeon;504501]AVZ обновился ... прогнал ..вроде все нормально .. спасибо большое :)[/QUOTE]Повторите логи.
-
-
[QUOTE=Pandaemanaeon;505331]Логи.[/QUOTE]
- В логах ничего подозрительного.
- Установите все важные патчи.
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\asu11\local settings\temp\y7rzj.htm - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.PWS.Multi.101, NOD32: Win32/Kryptik.BAK.gen trojan, AVAST4: Win32:Bredolab-AP [Trj] )[*] c:\windows\system32\semdpp.dll - [B]Trojan-Spy.Win32.Goldun.czf[/B] ( DrWEB: Trojan.PWS.GoldSpy.2849, BitDefender: Backdoor.Generic.220868, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]
Page generated in 0.00447 seconds with 10 queries