-
Junior Member
- Вес репутации
- 50
Снова "Ошибка при инициализации приложения (0xc0000005)"
Здравствуйте.
Позавчера заметил в автозагрузке файл monoca32.exe. И также обнаружил, что не запускаются Диспетчер задач Windows и некоторые другие программы, при этом появляется сообщение: "Ошибка при инициализации приложения (0xc0000005)."
Файл monoca32.exe я удалил и запусил полную проверку компьютера Касперским (KIS7). Касперский нашел:
Trojan.Win32.BHO.ajmw в C:\Program Files\Internet Explorer\setupapi.dll
Trojan.BAT.DelFiles.ez в C:\WINDOWS\system32\fjhdyfhsn.bat
Trojan.Win32.BHO.ajmw в C:\Program Files\Opera\setupapi.dll
Все трояны были удалены. Затем я проверил компьютер с помощью Dr. Web CureIt! Он ничего не нашел.
В течение воскресенья я заметил, что комп немного подтормаживает и понял, что видимо не все вычистил. И, к сожалению, оказался прав - сегодня при запуске Диспетчера задач Windows снова вылезало сообщение: "Ошибка при инициализации приложения (0xc0000005)."
Помогите, пожалуйста, вычислить и вычистить эту гадость с компа.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 50
-
1.Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm (file missing)
2. выполните такой скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\aolsa99s.SYS','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
Сделал все, кроме п.2. В процессе выполнения скрипта в AVZ появляется такое сообщение:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\aolsa99s.SYS)
Карантин с использованием прямого чтения - ошибка
Отчеты RSIT прикрепляю:
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Program Files\Common Files\keylog.txt');
DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\wm');
RebootWindows(true);
end.
После перезагрузки:
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 50
Все сделал.
Признаков активности трояна сейчас не наблюдаю. Можно ли считать, что я вылечился и теперь в безопасности?
-
-
-
Junior Member
- Вес репутации
- 50
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )
-