Показано с 1 по 20 из 20.

Сведения об ошибке Microsoft (заявка № 21593)

  1. #1
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36

    Exclamation Сведения об ошибке Microsoft

    Изначально не запусклась почти ни одна программа (при зауске сразу выскакивало окно об отправке ошибки в службу Микрософт), после лечения DrWeb вроеде немного система ожила, но при загрузке винды всё равно сразу вылезает эта ошибка. Также не могу выполнить первый скрипт в АВЗ (для создания virusinfo_syscure.zip), при его запуске комп перегружается. Прошу помочь в решении проблемы.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    Вот логи:
    Вложения Вложения

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    не надоело под админом ловить?





    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\pdbcopy.exe,C:\WINDOWS.0\system32\ntos.exe,C:\WINDOWS.0\system32\c++.exe,
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [f94mggfhfghodftdf] C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogan.exe
    O4 - HKCU\..\Run: [Access Control App] C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winsto.exe
    не перегружая компьютер-> отключите антивирус и инет .
    выполнить скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows.0\system32\cnab4rpk.exe','');
     DelBHO('{B2AC49A2-94F3-42BD-F434-2604812C897D}');
     DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
     DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684CC}');
     QuarantineFile('C:\Program Files\Helper\superfindout.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\pdbcopy.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\hg543fdg.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\c++.exe','');
     QuarantineFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winsto.exe','');
     QuarantineFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogan.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\secdrv.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\Yojm43.sys','');
     QuarantineFile('C:\WINDOWS.0\0\system32\ntkrnlpa.exe','');
     QuarantineFile('C:\WINDOWS.0\0\system32\ntdll.dll','');
     DeleteFile('C:\WINDOWS.0\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS.0\system32\DRIVERS\Ip6Fw.sys');
     DeleteFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogan.exe');
     DeleteFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winsto.exe');
     DeleteFile('C:\WINDOWS.0\system32\c++.exe');
     DeleteFile('C:\WINDOWS.0\system32\hg543fdg.dll');
     DeleteFile('C:\WINDOWS.0\system32\ntos.exe');
     DeleteFile('C:\Program Files\Helper\superfindout.dll');
     DeleteFile('C:\WINDOWS.0\system32\DRIVERS\Yojm43.sys');
     DeleteFile('C:\WINDOWS.0\system32\pdbcopy.exe');
     BC_DeleteSvc('Yojm43');
     BC_DeleteSvc('ICF');
     BC_DeleteSvc('Ip6Fw');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21593
    Новые логи сделать.
    Последний раз редактировалось drongo; 16.04.2008 в 11:08. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    Выполнил, но скрипт, по-моему не прошёл, комп ушёл в перезагрузку.
    В карантине пусто, вот новые логи:
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    Какие будут предложения? Заранее спасибо.

    Добавлено через 39 минут

    Удалось выполнить скрипт из поста №3
    Файл сохранён как 080416_043001_virus_4805c719b1e2b.zip
    Размер файла 126889
    MD5 18a860d36fb3973fa703c9721868643c

    сейчас сделаю новые логи
    Последний раз редактировалось vmax; 16.04.2008 в 12:31. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    Вот новые логи.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    Что-нибудь видно по этим логам?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Восстановление системы: включено \ отулючить ...
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS.0\Temp\5.tmp','');
     QuarantineFile('C:\WINDOWS.0\system32:lzx32.sys:$DATA','');
     BC_DeleteSvc('apcsvra');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
     BC_DeleteSvc('apcsvra32');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
     DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
     DeleteFile('C:\WINDOWS.0\system32:lzx32.sys:$DATA');
     DeleteFile('C:\WINDOWS.0\Temp\5.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил .....
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    В АВЗ в архивеничего не отображается, выслал архив этой папки вручную:
    Файл сохранён как 080417_003242_2008-04-17_4806e0fac4a58.zip
    Размер файла 65229
    MD5 203285d5dd4ce3e701255cac9cc826a3

    Логи сейчас сделаю

  11. #10
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    Вот:
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ntkrnlpa.exe - пришлите согласно приложения 2 правил ...

  13. #12
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    АВЗ Его находит в system и в system32, но в карантин они не добавляются:

    Ошибка карантина файла, попытка прямого чтения (ntkrnlpa.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS.0\ntkrnlpa.exe)
    Карантин с использованием прямого чтения - ошибка

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    запакуйте его "вручную" с паролем virus и пришлите ....

  15. #14
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    не грузится, при нажатии "загрузить" выскакивает "не возмлжно отобразить страницу". Архив размером 1 096 Кб.

    Добавлено через 3 часа 0 минут

    Что ещё можете посоветовать?
    Последний раз редактировалось vmax; 17.04.2008 в 13:34. Причина: Добавлено

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от vmax Посмотреть сообщение
    Что ещё можете посоветовать?
    прислать карантин как положено .... ,
    вcе три присланных файла пинчи ....

  17. #16
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    В том-то и дело. что в карантин они никак не хотят попадать, пробовал и в безопасном режиме, тоже самое. При поиске файла он находит его (ntkrnlpa.exe) в трёх папкках, выделяю, нажимаю отправить в карантин, вроде говорит, что успешно, но при просмотре карантина там пусто. Как быть?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    скопировать файл в проводнике и заархивировать с паролем virus

  19. #18
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    37
    Вес репутации
    36
    Как я уже писал выше архив получается более 1 Мб и не загружается по ссылке http://virusinfo.info/upload_virus.php?tid=21593

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    весьма странно ... умудряются по 40 мегабайт засовыввать ...
    попробуйте другим браузером ...

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 38
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows.0\\system32\\drivers\\yojm43.sys - Rootkit.Win32.Agent.aic (DrWEB: Trojan.NtRootKit.1034)
      2. \\2008-04-17\\avz00001.dta - Trojan.Win32.AntiAV.j (DrWEB: Trojan.Inject.2573)
      3. \\2008-04-17\\avz00002.dta - Trojan.Win32.AntiAV.j (DrWEB: Trojan.Inject.2573)
      4. \\2008-04-17\\avz00003.dta - Trojan.Win32.AntiAV.j (DrWEB: Trojan.Inject.2573)


  • Уважаемый(ая) vmax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Сведения
      От Рустем в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.02.2009, 19:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01098 seconds with 17 queries