-
Junior Member
- Вес репутации
- 48
svchost.exe - Ошибка приложения
Здравствуйте!
Установлен ESET Nod версия 4.2.42.0. При загрузке появляется окно:
svchost.exe - Ошибка приложения
Инструкция по адресу "0x6fe217c2" обратилась к памяти по адресу "0x6fe217c2". Память не может быть "written".
"ОК" - завершение приложения.
"Отмена" - отладка приложения.
Если нажать "ОК", то комп зависает, приходится перегружать "RESET".
Если нажать "Отмена", то либо пропадает звук, либо интернет-связь.
Установил также AVPTool, просканировал обеими программами. Поначалу ничего не обнаружилось, но через некоторое время после скана ESET поймал autorun.inf на флешке (диск F) и удалил троян Win32/Lethic.AA.
Провел проверку AVZ и HiJackThis. Получил 3 лога.
Посмотрите их пожалуйста.
Спасибо, crimson
Последний раз редактировалось crimson; 13.04.2011 в 10:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 48
Mea culpa, видимо запутался, базу обновил, а скопировал старые файлы. Выполнил скрипты еще раз, прикрепил обновленные базы.
Из-за проблем подключения к сети на этом компе, пришлось перемещать данные на лаптоп, теперь и здесь ругается, говорит "generic host process for win32 services has encountered a problem and needs to close"
Добавлено через 3 часа 46 минут
Не хочу показаться навязчивым, но может модераторы не заметили, что я обновил логи в заглавном сообщении. Буду очень признателен, если кто поможет.
Последний раз редактировалось crimson; 13.04.2011 в 14:13.
Причина: Добавлено
-
Здравствуйте.
Отключите Восстановление системы.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ghdrive32.exe');
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\85.exe','');
QuarantineFile('C:\WINDOWS\system32\71.exe','');
QuarantineFile('C:\WINDOWS\system32\18.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
QuarantineFile('C:\WINDOWS\ghdrive32.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\ghdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\18.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
PS Для лаптопа создайте отдельную тему и приложите туда логи с него.
-
-
Junior Member
- Вес репутации
- 48
Спасибо, сейчас попробую. Единственно, уточнить хотел, подключение к интернету обязательное условие? А то это сложно, вчера я его раз 10 перезагружал, чтоб заставить подключиться?
-
Junior Member
- Вес репутации
- 48
Файл карантина загрузил, а вот новый лог
-
В карантин ничего не попало...
Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Karen\hddd.exe','');
DeleteFile('C:\Documents and Settings\Karen\hddd.exe');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите опять quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
-
-
Junior Member
- Вес репутации
- 48
-
Обновите Internet Explorer до актуальной версии (даже если не используете).
Установите этот набор обновлений:
http://forum.oszone.net/thread-182066.html
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Повторите еще раз лог virusinfo_syscheck.zip и приложите в теме.
-
-
Junior Member
- Вес репутации
- 48
ни та ни другая ссылка, к сожалению, не работает. проверил, другие сайты открывает без проблем, а эти никак, пишет - нет такого
-
Тогда так:
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...oducts/ie/home
Установите все обновления безопасности:
http://www.update.microsoft.com/windowsupdate
И скрипт:
-
-
Junior Member
- Вес репутации
- 48
Вот текстовый файл с уязвимостями, сейчас перезагружусь и остальное пришлю
-
Junior Member
- Вес репутации
- 48
После установки обновлений, при повторном выполнении скрипта текстового файла нового не обнаружилось. Это значит что все нормально, или я что-то не то сделал?
а вот еще раз лог
-
По логу чисто. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 48
не шумит и не ругается. вроде бы все нормально, спасибо большое!
п.с. сейчас досканю лаптоп и новую тему открою, правда там, насколько я понимаю, все не так запущено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - Trojan.Win32.Pincav.befz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.318895, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-GNH [Trj] )
- c:\\windows\\ghdrive32.exe - Net-Worm.Win32.Kolab.yhz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.320876, NOD32: IRC/SdBot trojan, AVAST4: Win32:Downloader-FUY [Trj] )
- c:\\windows\\system32\\18.exe - Trojan.Win32.Pincav.befz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.318895, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-GNH [Trj] )
- c:\\windows\\system32\\71.exe - Trojan.Win32.Pincav.befz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.318895, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-GNH [Trj] )
- c:\\windows\\system32\\85.exe - Trojan.Win32.Pincav.befz ( DrWEB: BackDoor.Ddoser.131, BitDefender: Worm.Generic.318895, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Downloader-GNH [Trj] )
-