Показано с 1 по 13 из 13.

Access Violation в avz.exe при выполнении первого скрипта из правил (заявка № 46184)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    30
    Вес репутации
    62

    Access Violation в avz.exe при выполнении первого скрипта из правил

    В последнее время комп стал странно долго тормозить при логине и я решил проверить систему по всем правилам:
    KAV Tool в Safe режиме ничего не нашел.
    AVZ при выполнении первого скрипта ( "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info") обнаружил целые каскады файлов с прямым чтением в профиле жены - Local Settings\Temp\~DF******.tmp файлы но дойдя до окончания сканирования выдал серию Access Violation в модуле avz при сканировании каталогов .NET framework'а.

    В итоге - лог создан не был, архив карантина тоже (хотя сам карантин файлами наполнился).

    Подскажите как корректно собрать логи скриптами в таком случае ?

    PS: прилагаю скрин avz - он в итоге зависший и ни на что не реагирует, помог только ребут машины ( пишу все с ноута =) ) - может поможет при отладке.
    Изображения Изображения
    • Тип файла: jpg av-avz.jpg (593.5 Кб, 10 просмотров)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Вы базы АВЗ обновили?
    - Очистите темп-папки, кэш проводников и корзину во всех учетных записях.
    - Скачайте special AVZ по ссылке в моей подписи и сделайте логи им. Базы в нем обновлять не надо.

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    30
    Вес репутации
    62
    Да, обновлял базы перед сканированием.
    Удалил мусор CCleaner'ом и снова запустил скрипт, уже в полиморфном avz. Как закончит - будут логи.

    PS не могу окончательно выгрузить avira antivir при сканировании - оно защищается =(

    Вот логи. Несмотря на очистку всех temp файлов ccleaner'ом - прямое чтение в логах осталось. А еще странно выглядит каскад application data каталогов. Не подскажете, кто делает такие вещи - виртуализация профиля в висте ?

    Мммм... я подцепил что-то сложное или меня забыли ?

    Скромно хочется напомнить что я приложил логи. Если я сделал что-то не правильно - напишите пожалуйста. уже 4 дня прошло с момента обращения....
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 24.05.2009 в 13:39.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Если Вы какие-то продукты от sysinternals.com пользуете - удалите их.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('QJPMAHPZZW');
     StopService('VZYWIGMHE');
     QuarantineFile('C:\Users\07C4~1\AppData\Local\Temp\QJPMAHPZZW.exe','');
     QuarantineFile('C:\Users\07C4~1\AppData\Local\Temp\VZYWIGMHE.exe','');
     DeleteFile('C:\Users\07C4~1\AppData\Local\Temp\VZYWIGMHE.exe');
     DeleteFile('C:\Users\07C4~1\AppData\Local\Temp\QJPMAHPZZW.exe');
     DeleteService('QJPMAHPZZW');
     DeleteService('VZYWIGMHE');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('QJPMAHPZZW');
     BC_DeleteSvc('VZYWIGMHE');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    30
    Вес репутации
    62
    Вот новые логи.
    Карантин тоже сейчас загружу.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    зловредного ничего не увидел ...
    Прямое чтение ,для виста, в логе - это норма

  8. #7
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    30
    Вес репутации
    62
    Спасибо.
    А по поводу карантина не подскажете, что именно там было. И в связи с этим стоит ли мне сменить все важные пароли на почту\аську\прочее или зловред в карантине не занимается кражами личных данных ?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от centur Посмотреть сообщение
    А по поводу карантина не подскажете, что именно там было.
    guard32.dll, QJPMAHPZZW.exe_, VZYWIGMHE.exe_

    Вредоносный код в файлах не обнаружен.

  10. #9
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    30
    Вес репутации
    62
    guard32.dll - это Comodo Firewall, я его давно уже пользую.

    А вот последние 2 - удивили . Т.к. торможение пропало и головки винчестера гораздо менее активно стали шуровать при запуске (и это не эффект плацебо =) ).

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от centur Посмотреть сообщение
    А вот последние 2 - удивили . .
    Я же Вас в 4-м посте спрашивал
    Если Вы какие-то продукты от sysinternals.com пользуете - удалите их.
    Это драйверы от какого-то их продукта

  12. #11
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    30
    Вес репутации
    62
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Это драйверы от какого-то их продукта
    Хмм я если использовал - только Process Explorer - его удалил ( вернее выключил режим замены таскменеджера - он из реестра и убрал свою запись).
    Думал что замечания относятся именно к этому.

    Остальные продукты вроде не ставил, хотя скачивал в full suite наборе (да и не помню я чтобы sysinternals что-то явно инсталлировали, если только неявно что-то).

    Извините, если ввел в заблуждение, спасибо за разъяснения.

    PS: Вот примут в студенты не буду задавать такие глупые вопросы

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от centur Посмотреть сообщение
    не буду задавать такие глупые вопросы
    Глупых вопросов не бывает, бывают глупые ответы..

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) centur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 18.01.2010, 17:27
    2. Access violation
      От Pandaemanaeon в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 11.11.2009, 10:38
    3. Ответов: 15
      Последнее сообщение: 20.09.2009, 16:55
    4. Ответов: 2
      Последнее сообщение: 15.02.2009, 21:05
    5. Ответов: 9
      Последнее сообщение: 11.02.2008, 19:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00864 seconds with 20 queries