0xc0000005 для всех приложений

[Lai]

Ситуация схожа по описанию, вот с этой темой -
http://virusinfo.info/showthread.php?t=69462

Во время работы в интернете (IE8), IE8 самопроизвольно закрылся, при повторном запуске выдавалось сообщение об ошибке приложения с кодом 0xc0000005. При попытке запустить альтернативный браузер (FireFox), также выскакивало сообщение об ошибке 0xc0000005. Списали на не понятный глюк, перезагрузили машину. Как результат, просто невероятно медленная загрузки системы, ни одно приложение, в частности AVZ и HiJackThis, не запускается. При попытке запуска абсолютно любого приложения, выдаётся только сообщение об ошибке соответствующего, с кодом 0xc0000005.

Проверка на вирусы ни каких результатов не дала.

Машина используется как ProxyServer под управлением Traffic Inspector, и одновременно рабочее место. Парадоксально, что иНет продолжает раздаваться на другие машины в сети. При том что на самой машине сделать ничего не возможно (0xc0000005). На машинах в сети подобной проблемы нет, всё работает исправно.

Максимально чего удалось добиться, это кратковременной работы AVZ и HiJackThis, в процессе чего удалось сделать некоторые логи.

Очень надеюсь на Вашу помощь.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Lai]

Выполнил предложенный скрипт, компьютер начал перезагружаться, и повис (в течении ~30 минут висел чёрный экран). Пришлось перезагружать кнопкой. Как результат, карантин пуст.

Прилагаю логи которые удалось сделать AVZ и HiJackThis.

МВАМ запустить не удалось, выпадает в ошибку – “Run-time error '0'” следом “Run-time error '440': Automation error” или же всё тоже сообщение об ошибке “0xc0000005”. Пробовал несколько раз переустанавливать, результат тот же.

Как результат удалось запустить только в “Безопасном режиме”.

[polword]

- удалите в MBAM

Код:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('c:\program files\mozilla firefox\setupapi.dll','');
 DeleteFile('c:\program files\mozilla firefox\setupapi.dll');
 QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 QuarantineFile('%windir%\system32\mssfc.dll','');
 DeleteFile('%windir%\system32\mssfc.dll');
   if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
      begin
      RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
       CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
       AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
      end
     else
      begin
       AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует');
        if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
            begin
            RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
             CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
             AddToLog('Замена sfcfiles.dll успешно произведена из i386');
            end
           else 
            begin
             AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует');
            end;
	 end;
  //sfcfiles.log сохранится в папке, из которой был запущен AVZ
  SaveLog('sfcfiles.log');		 
  DeleteFile('%windir%\system32\drivers\sfc.sys');
  DeleteFile('%windir%\system32\sfcfiles.bak');
  BC_ImportALL;
  ExecuteSysClean;
  BC_DeleteFile('%windir%\System32\sfcfiles.bak');
  BC_DeleteSvc('sfc');     
  ExecuteWizard('TSW', 2, 2, true);
  ExecuteWizard('SCU', 2, 2, true);
  RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
  BC_Activate;
  RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- файл sfcfiles.log прикрепите к сообщению

[Lai]

Всё выполнил согласно Вашим инструкциям.

- удали в MBAM указанные ключи (в Безопасном режиме);
- запустил на исполнение первый скрипт, выполнился нормально, не было зависания на перезагрузке;
- выполнил второй скрипт, выполнился нормально.

Прикрепляю запрошенные файлы:
quarantine.zip
virusinfo_syscheck.zip
sfcfiles.log

[polword]

подозрительного нет.
Что с проблемой?

[Lai]

Ошибка больше не проявляется. Единственно пришлось переустановить AVP WS 6.0 применяя утилиту для его удаления от Касперского, поскольку неимоверно долго завершалась работа Windows, и так же долго запускался.

Пока что полёт нормальный. Огромное Вам спасибо, за ваш неимоверный труд.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\mozilla firefox\\setupapi.dll - Trojan.Win32.Zapchast.cvx ( DrWEB: Trojan.WinSpy.967, BitDefender: Trojan.Generic.5427950, AVAST4: Win32:Patched-TI [Trj] )
  2. c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.988, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Parchood-B [Trj] )