Снова "Ошибка при инициализации приложения (0xc0000005)"

**Pavel83** · 16.08.2010, 20:18

Здравствуйте.
Позавчера заметил в автозагрузке файл monoca32.exe. И также обнаружил, что не запускаются Диспетчер задач Windows и некоторые другие программы, при этом появляется сообщение: "Ошибка при инициализации приложения (0xc0000005)."

Файл monoca32.exe я удалил и запусил полную проверку компьютера Касперским (KIS7). Касперский нашел:
Trojan.Win32.BHO.ajmw в C:\Program Files\Internet Explorer\setupapi.dll
Trojan.BAT.DelFiles.ez в C:\WINDOWS\system32\fjhdyfhsn.bat
Trojan.Win32.BHO.ajmw в C:\Program Files\Opera\setupapi.dll

Все трояны были удалены. Затем я проверил компьютер с помощью Dr. Web CureIt! Он ничего не нашел.

В течение воскресенья я заметил, что комп немного подтормаживает и понял, что видимо не все вычистил. И, к сожалению, оказался прав - сегодня при запуске Диспетчера задач Windows снова вылезало сообщение: "Ошибка при инициализации приложения (0xc0000005)."

Помогите, пожалуйста, вычислить и вычистить эту гадость с компа.

Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 16.08.2010, 20:23

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 QuarantineFile('%windir%\system32\mssfc.dll','');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 DeleteFile('%windir%\system32\mssfc.dll');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
   begin
    if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
      begin
       CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
       AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
       SaveLog('sfcfiles.log');
      end
     else
      begin
       AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
       SaveLog('sfcfiles.log');
       if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
         begin
          if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
            begin
             CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
             AddToLog('Замена sfcfiles.dll успешно произведена из i386');
             SaveLog('sfcfiles.log');
            end
           else 
            begin
             AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
             SaveLog('sfcfiles.log');
            end;
         end
        else
         begin
          AddToLog('Файл sfcfiles.dll отсутствует в i386');
          SaveLog('sfcfiles.log');
         end;
      end;
   end
  else
   begin
    AddToLog('Файл sfcfiles.dll отсутствует в кеше');
    SaveLog('sfcfiles.log');
    if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
      begin
       if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
         begin
          CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
          AddToLog('Замена sfcfiles.dll успешно произведена из i386');
          SaveLog('sfcfiles.log');
         end
       else 
        begin
          AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
          SaveLog('sfcfiles.log');
        end;
      end
     else
      begin
       AddToLog('Файл sfcfiles.dll отсутствует в i386');
       SaveLog('sfcfiles.log');
      end;  
   end;
 DeleteFile('%windir%\system32\sfcfiles.bak');
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('%windir%\System32\sfcfiles.bak');
 BC_DeleteSvc('sfc');
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению

**Pavel83** · 16.08.2010, 20:55

Сделал

**polword** · 16.08.2010, 21:18

1.Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)

2. выполните такой скрипт

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
  QuarantineFile('C:\WINDOWS\System32\Drivers\aolsa99s.SYS','');
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**Pavel83** · 16.08.2010, 22:27

Сделал все, кроме п.2. В процессе выполнения скрипта в AVZ появляется такое сообщение:

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\aolsa99s.SYS)
Карантин с использованием прямого чтения - ошибка

Отчеты RSIT прикрепляю:

**polword** · 16.08.2010, 22:31

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\Program Files\Common Files\keylog.txt');
 DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
 DeleteDirectory('C:\Program Files\Common Files\wm');
 RebootWindows(true);
end.

После перезагрузки:

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**Pavel83** · 17.08.2010, 21:57

Все сделал.

Признаков активности трояна сейчас не наблюдаю. Можно ли считать, что я вылечился и теперь в безопасности?

**polword** · 17.08.2010, 22:03

можно

**Pavel83** · 17.08.2010, 22:18

Спасибо за помощь!

**CyberHelper** · 18.08.2010, 22:18

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )

Снова "Ошибка при инициализации приложения (0xc0000005)" (заявка № 85565)

Опции темы

Снова "Ошибка при инициализации приложения (0xc0000005)"

Итог лечения

Похожие темы

"Ошибка при инициализации приложения (0xc0000005)

Ошибка при инициализации приложения (0xc0000005)

Ошибка при инициализации приложения 0xc0000005

Ошибка при инициализации приложения 0xc0000005

Ошибка при инициализации приложения 0xc0000005

Ваши права в разделе