-
Junior Member
- Вес репутации
- 55
0xc0000005 для всех приложений
Ситуация схожа по описанию, вот с этой темой -
http://virusinfo.info/showthread.php?t=69462
Во время работы в интернете (IE8), IE8 самопроизвольно закрылся, при повторном запуске выдавалось сообщение об ошибке приложения с кодом 0xc0000005. При попытке запустить альтернативный браузер (FireFox), также выскакивало сообщение об ошибке 0xc0000005. Списали на не понятный глюк, перезагрузили машину. Как результат, просто невероятно медленная загрузки системы, ни одно приложение, в частности AVZ и HiJackThis, не запускается. При попытке запуска абсолютно любого приложения, выдаётся только сообщение об ошибке соответствующего, с кодом 0xc0000005.
Проверка на вирусы ни каких результатов не дала.
Машина используется как ProxyServer под управлением Traffic Inspector, и одновременно рабочее место. Парадоксально, что иНет продолжает раздаваться на другие машины в сети. При том что на самой машине сделать ничего не возможно (0xc0000005). На машинах в сети подобной проблемы нет, всё работает исправно.
Максимально чего удалось добиться, это кратковременной работы AVZ и HiJackThis, в процессе чего удалось сделать некоторые логи.
Очень надеюсь на Вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Выполнил предложенный скрипт, компьютер начал перезагружаться, и повис (в течении ~30 минут висел чёрный экран). Пришлось перезагружать кнопкой. Как результат, карантин пуст.
Прилагаю логи которые удалось сделать AVZ и HiJackThis.
МВАМ запустить не удалось, выпадает в ошибку – “Run-time error '0'” следом “Run-time error '440': Automation error” или же всё тоже сообщение об ошибке “0xc0000005”. Пробовал несколько раз переустанавливать, результат тот же.
Как результат удалось запустить только в “Безопасном режиме”.
-
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\program files\mozilla firefox\setupapi.dll','');
DeleteFile('c:\program files\mozilla firefox\setupapi.dll');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\mssfc.dll');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует');
end;
end;
//sfcfiles.log сохранится в папке, из которой был запущен AVZ
SaveLog('sfcfiles.log');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- файл sfcfiles.log прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 55
Всё выполнил согласно Вашим инструкциям.
- удали в MBAM указанные ключи (в Безопасном режиме);
- запустил на исполнение первый скрипт, выполнился нормально, не было зависания на перезагрузке;
- выполнил второй скрипт, выполнился нормально.
Прикрепляю запрошенные файлы:
quarantine.zip
virusinfo_syscheck.zip
sfcfiles.log
-
подозрительного нет.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 55
Ошибка больше не проявляется. Единственно пришлось переустановить AVP WS 6.0 применяя утилиту для его удаления от Касперского, поскольку неимоверно долго завершалась работа Windows, и так же долго запускался.
Пока что полёт нормальный. Огромное Вам спасибо, за ваш неимоверный труд.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\mozilla firefox\\setupapi.dll - Trojan.Win32.Zapchast.cvx ( DrWEB: Trojan.WinSpy.967, BitDefender: Trojan.Generic.5427950, AVAST4: Win32:Patched-TI [Trj] )
- c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.988, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Parchood-B [Trj] )
-