И опять 0xc0000005...

**an2000** · 03.08.2010, 13:56

При получении virusinfo_syscheck.zip проактивная защита Каспера сообщила:
Попытка процесса изменить состав системных библиотек, загружаемых при старте ОС.
Ключ: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\u te4mtyw
Значение: ImagePath
Новые данные(Строка Unicode, заканчивающаяся нулем):
\??\C:\WINDOWS.0\system32\Drivers\ute4mtyw.sys
Запретил.

Карантин закачан.

PS .EXE начали запускаться!
Неужто дело только в этом ute4mtyw.sys???

PPS В папке c:\WINDOWS.0\system32\drivers\ есть еще:
vde4mtyw.sys длиной 13312
uze4mtyw.sys длиной 11264

В c:\Documents and Settings\Admin\Local Settings\Temp\
два странных файла. Вот они.

r2h12.tmp:
{\rtf1\ansi\ansicpg1251\deff0\deflang1049{\fonttbl {\f0\fnil\fcharset204 MS Shell Dlg 2;}}
\viewkind4\uc1\pard\b\f0\fs17\'ca\'eb\'fe\'f7:\b0 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet006\\Service s\\ute4mtyw\par
\par
\b\'c7\'ed\'e0\'f7\'e5\'ed\'e8\'e5:\b0 ImagePath\par
\par
\b\'cd\'ee\'e2\'fb\'e5 \'e4\'e0\'ed\'ed\'fb\'e5(\'d1\'f2\'f0\'ee\'ea\'e0 Unicode, \'e7\'e0\'ea\'e0\'ed\'f7\'e8\'e2\'e0\'fe\'f9\'e0\' ff\'f1\'ff \'ed\'f3\'eb\'e5\'ec):\b0\par
\\??\\C:\\WINDOWS.0\\system32\\Drivers\\ute4mtyw.s ys}

r2hF.tmp:
{\rtf1\ansi\ansicpg1251\deff0\deflang1049{\fonttbl {\f0\fnil\fcharset204 MS Shell Dlg 2;}}
\viewkind4\uc1\pard\f0\fs17 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet006\\Service s\\ute4mtyw\par
}

Возможно, пригодится?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 03.08.2010, 14:12

C:\WINDOWS.0\System32\sfcfiles.dll - Trojan.WinSpy.921

Добавлено через 4 минуты

- Сделайте лог MBAM

**an2000** · 03.08.2010, 14:38

2polword:
MBAM - Не могу, сообщения те же.

У меня в c:\WINDOWS.0\system32\ есть:
sfcfiles.bak длиной 1 571 840, который Каспер заразой не считает;
Sfcfiles.dl_, который я туда положил, чтобы "expand" делать, если что.
Всё...

**an2000** · 04.08.2010, 09:19

Скоро сутки с тех пор, как...
Что дальше-то?

**polword** · 04.08.2010, 09:59

Сообщение от an2000

Sfcfiles.dl_, который я туда положил, чтобы "expand" делать, если что.

надо сделать

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS.0\System32\sfcfiles.bak');
 QuarantineFile('c:\Documents and Settings\Admin\Local Settings\Temp\r2h12.tmp','');
 QuarantineFile('c:\Documents and Settings\Admin\Local Settings\Temp\r2hF.tmp','');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip; hijackthis.log;

**an2000** · 04.08.2010, 11:24

Файлы .tmp привел выше, после чего стёр. Так что... две строки из скрипта убираю...

Опять при получении virusinfo_syscheck.zip проактивная защита Каспера сообщила:
Попытка процесса изменить состав системных библиотек, загружаемых при старте ОС.
Ключ: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\u te4mtyw
Значение: ImagePath
Новые данные(Строка Unicode, заканчивающаяся нулем):
\??\C:\WINDOWS.0\system32\Drivers\ute4mtyw.sys
Запретил.

...после чего AVZ сказала:
Failed to set data for 'ImagePath'
а в окне Протокол самой AVZ появилось:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'ImagePath'], шаг [14]

В c:\WINDOWS.0\system32\drivers\ появились
uje4mtyw.sys длиной 10240
ute4mtyw.sys длиной 7168

В c:\Documents and Settings\Admin\Local Settings\Temp\ появились:
h2r3.tmp длиной 0
r2h2.tmp длиной 485

Возможно, проактивной защите мне надо отвечать "Разрешить"?

**polword** · 04.08.2010, 11:31

при выполнении скрипта надо отключать антивирус

**an2000** · 04.08.2010, 12:18

Отключил.
Выполнил скрипт (с новыми именами .tmp).
Перезагрузка прошла.

Запрошенное прилагаю.

PS Возможно, для MBAM тоже надо Каспера выключать?

**an2000** · 04.08.2010, 12:25

На первый взгляд - все работает, несмотря на отсутствие файла sfcfiles.dll в c:\WINDOWS.0\system32...

**polword** · 04.08.2010, 13:57

файл sfcfiles.dll в c:\WINDOWS.0\system32 надо восстановить

**an2000** · 04.08.2010, 19:11

Восстановил.
Скажите, плз, что указало Вам на вирус?
(C:\WINDOWS.0\System32\sfcfiles.dll - Trojan.WinSpy.921)

**polword** · 05.08.2010, 04:38

файл C:\WINDOWS.0\System32\Drivers\sfc.SYS

**an2000** · 05.08.2010, 15:53

А почему Каспер этого не подтверждает?

**an2000** · 06.08.2010, 18:54

Рановато Вы поставили "Излечено"...
Все как прежде.
Обнаружил, когда попробовал перегрузить компьютер.

Каспер, как и раньше, молчит...

**Никита Соловьев** · 06.08.2010, 18:57

Сообщение от an2000

Обнаружил, когда попробовал перегрузить компьютер.

Каспер, как и раньше, молчит...

Добавьте информативности

**CyberHelper** · 07.08.2010, 18:57

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 17
В ходе лечения обнаружены вредоносные программы:
1. c:\windows.0\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bihf ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@aKaTBIf, AVAST4: Win32:Rootkit-gen [Rtk] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

И опять 0xc0000005... (заявка № 84356)

Опции темы

Итог лечения

Похожие темы

Ошибка приложения (0xc0000005)

Ошибка 0xc0000005

0xc0000005 для всех приложений

Непонятная ошибка 0xc0000005.

Ваши права в разделе