Очень прошу Вас Помочь! Проблема: APPCRASH

[Алмабек]

Сигнатура проблемы:

Имя события проблемы: APPCRASH
Имя приложения: firefox.exe
Версия приложения: 1.9.2.3828
Отметка времени приложения: 4c25a4a3
Имя модуля с ошибкой: KERNELBASE.dll
Версия модуля с ошибкой: 6.1.7600.16850
Отметка времени модуля с ошибкой: 4e211485
Код исключения: 0eedfade
Смещение исключения: 0000b9bc
Версия ОС: 6.1.7600.2.0.0.768.3
Код языка: 1049
Дополнительные сведения 1: a9c3
Дополнительные сведения 2: a9c310a21ff4f52c6c209e71eeb90335
Дополнительные сведения 3: 2562
Дополнительные сведения 4: 2562adb5b7429434b71acb01495c6fa1

Ознакомьтесь с заявлением о конфиденциальности в Интернете:http://go.microsoft.com/fwlink/?link...8&clcid=0x0419

Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с его локальным вариантом:C:\Windows\system32\ru-RU\erofflps.txt

Только сегодня началась это проблема, как говорится надо ковать железо, пока горячо!Будьте любезны помочь.

[Info_bot]

Уважаемый(ая) Алмабек, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\windows\SysWow64\ktlvjuql.dll','');
 DelBHO('{00000000-0000-0000-0000-000000000000}');
 QuarantineFile('C:\Windows\system32\ktlvjuql.dll','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\updates\updates.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\xlaz2i2nocyomqoa1ctqtsk2mwqnzt1v2\svcnost.exe','');
 TerminateProcessByName('c:\users\Пользователь\zaiosos.exe');
 QuarantineFile('c:\users\Пользователь\zaiosos.exe','');
 DeleteFile('c:\users\Пользователь\zaiosos.exe');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\xlaz2i2nocyomqoa1ctqtsk2mwqnzt1v2\svcnost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaiosos');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Init');
 DeleteFile('C:\Windows\system32\ktlvjuql.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\omwwueej\Parameters','ServiceDll');
 DeleteFile('c:\windows\SysWow64\ktlvjuql.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Алмабек]

СПАСИБО БОЛЬШОЕ! Вроде все работает стабильно, но у меня вопрос: как прислать Вам то что Вы просите? Я вроде просматрел тему как отправить требуюший файл, но Вы просто не сказали что именно Вам прислать. Сделал как было написано, но отметил все и сохранил в архиве. И стоит ли делать следуюшие действия? AVZ ----> файл ---> стандартные скрипты ну и т.д. просто не понял вопроса " Сделайте новые логи "

P.S. ЕЩЕ РАЗ ОЧЕНЬ БЛАГОДАРЕН!

Добавлено через 5 минут

И еще кое что хотелось бы узнать каким боком я умудрился заразится этим виросом? Просто не хотелось бы дважды наступать на одни и те же грабли.

[Bratez]

отметил все и сохранил в архиве

Правильно.

не понял вопроса " Сделайте новые логи "

Заново выполнить п.1-3 раздела Диагностика правил и прикрепить полученные файлы к своему следующему сообщению.

[Алмабек]

Я плачу опять вышла проблема APPCRASH! Вчера вроде работало все нормально, утром вкл ноут и тут опять этот паразит.

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: updates.exe
Версия приложения: 5.0.2135.1
Отметка времени приложения: 4f983596
Имя модуля с ошибкой: StackHash_0a9e
Версия модуля с ошибкой: 0.0.0.0
Отметка времени модуля с ошибкой: 00000000
Код исключения: c0000096
Смещение исключения: 002f2f31
Версия ОС: 6.1.7600.2.0.0.768.3
Код языка: 1049
Дополнительные сведения 1: 0a9e
Дополнительные сведения 2: 0a9e372d3b4ad19135b953a78882e789
Дополнительные сведения 3: 0a9e
Дополнительные сведения 4: 0a9e372d3b4ad19135b953a78882e789

Ознакомьтесь с заявлением о конфиденциальности в Интернете:
http://go.microsoft.com/fwlink/?link...8&clcid=0x0419

Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с его локальным вариантом:
C:\Windows\system32\ru-RU\erofflps.txt

Добавлено через 4 минуты

Правильно.


Заново выполнить п.1-3 раздела Диагностика правил и прикрепить полученные файлы к своему следующему сообщению.

Хорошо.

[Алмабек]

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: updates.exe
Версия приложения: 5.0.2135.1
Отметка времени приложения: 4f983596
Имя модуля с ошибкой: StackHash_0a9e
Версия модуля с ошибкой: 0.0.0.0
Отметка времени модуля с ошибкой: 00000000
Код исключения: c0000096
Смещение исключения: 002f2f31
Версия ОС: 6.1.7600.2.0.0.768.3
Код языка: 1049
Дополнительные сведения 1: 0a9e
Дополнительные сведения 2: 0a9e372d3b4ad19135b953a78882e789
Дополнительные сведения 3: 0a9e
Дополнительные сведения 4: 0a9e372d3b4ad19135b953a78882e789

Ознакомьтесь с заявлением о конфиденциальности в Интернете:
http://go.microsoft.com/fwlink/?link...8&clcid=0x0419

Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с его локальным вариантом:
C:\Windows\system32\ru-RU\erofflps.txt

[Bratez]

Пофиксите в HijackThis:

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\updates\updates.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YOUTUBE.PLAYER.exe','');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YOUTUBE.PLAYER.exe');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\updates\updates.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=120005).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[Алмабек]

Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=120005).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Вы имели ввиду virusinfo_syscheck, hijackthis. Я их загрузил, и хотелось бы узнать, как прикрепить файлы именно в данной теме, может где то не догледел(((, но я сделал так, редактировать сообщение и добавил файлы в управление приложениями.

[thyrex]

Логи прикрепляют к новому сообщению в теме, а не выкладывают в старом сообщении

[Алмабек]

Вот то что Вы просили.

[thyrex]

Проблема решена?

[Алмабек]

Проблема решена?

Да очень благодарен Вам. Можно вопрос, когда началась проблема: APPCRASH, то после этого начался медленно открыватся рабочий стол,когда ноут только что вкл. Почему? Возможно дело и не в APPCRASHе, могли бы сказать с чем это связано?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\пользователь\\appdata\\roaming\\microso ft\\windows\\start menu\\programs\\startup\\youtube.player.exe - Trojan-Spy.Win32.Zbot.dtke ( DrWEB: Trojan.DownLoader6.5465, BitDefender: Gen:Variant.Zusy.Elzob.2467, AVAST4: Win32:Zbot-OIT [Trj] )
  2. c:\\users\\пользователь\\appdata\\roaming\\updates \\updates.exe - Trojan-Spy.Win32.Zbot.dtke ( DrWEB: Trojan.DownLoader6.5465, BitDefender: Gen:Variant.Zusy.Elzob.2467, AVAST4: Win32:Zbot-OIT [Trj] )
  3. c:\\users\\пользователь\\appdata\\roaming\\xlaz2i2 nocyomqoa1ctqtsk2mwqnzt1v2\\svcnost.exe - Trojan-Dropper.Win32.Dapato.bblp ( DrWEB: Trojan.Spambot.11349, BitDefender: Gen:Variant.Zusy.Elzob.2637, AVAST4: Win32:Zbot-OIT [Trj] )
  4. c:\\users\\пользователь\\zaiosos.exe - Trojan.Win32.VB.briz ( DrWEB: Win32.HLLW.Autoruner1.15280, BitDefender: Gen:Variant.Barys.2424, NOD32: Win32/AutoRun.VB.AVP worm, AVAST4: Win32:VB-ACQR [Trj] )
  5. c:\\windows\\system32\\ktlvjuql.dll - Packed.Win32.Krap.iu ( DrWEB: Trojan.Click2.21517, BitDefender: Trojan.Generic.KDV.615613, NOD32: Win32/Boaxxe.A trojan, AVAST4: Win32:Zbot-OIU [Trj] )
  6. c:\\windows\\syswow64\\ktlvjuql.dll - Packed.Win32.Krap.iu ( DrWEB: Trojan.Click2.21517, BitDefender: Trojan.Generic.KDV.615613, NOD32: Win32/Boaxxe.A trojan, AVAST4: Win32:Zbot-OIU [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !