Lvrn 0 Опубликовано 30 октября, 2009 Share Опубликовано 30 октября, 2009 Компьютер был заражен вирусом (а может и сейчас под ним) Trojan.Win32.FraudPack.xwl После перезагрузки (одной, несколько?) стало вылазить окошко: lsass.exe - Ошибка приложенияИнструкция по адресу "0х00000000 обратилась к памяти по адресу "0х00000000". Память не может быть "written". "ОК" -- завершение приложения "Отмена" -- отладка приложения При нажатии на ОК или Отмена - ситема обнаруживает внезапное завершение работы системного файла и глушит систему через 60 сек. Если сдвинуть окно с ошибкой в сторону, то можно работать Как устранить эту ошибку? hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 30 октября, 2009 Share Опубликовано 30 октября, 2009 (изменено) Выполните скрипт в avz begin QuarantineFile('C:\WINDOWS\DOWNLO~1\SIPPOI~1.OCX',''); QuarantineFile('C:\WINDOWS\system\msvidc.drv',''); QuarantineFile('C:\WINDOWS\system32\*.drv',''); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. Изменено 30 октября, 2009 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
Lvrn 0 Опубликовано 31 октября, 2009 Автор Share Опубликовано 31 октября, 2009 Выполните скрипт в avz... ПК перезагрузится. ПК не перезагрузился. Выполнена ручная перезагрузка через кнопку ПУСК. Выполнить скрипт в AVZ.... quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. Ответ из newvirus@kaspersky.com Здравствуйте, В присланном Вами файле не найдено ничего вредоносного. Новые логи прикрепил. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
rabbit 60 Опубликовано 31 октября, 2009 Share Опубликовано 31 октября, 2009 ПК не перезагрузился. скрипт не дописали, имхо. Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 31 октября, 2009 Share Опубликовано 31 октября, 2009 (изменено) Пофиксить в HijackThis F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file) ПК перезагрузите. Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\Download from Internet\Convertor DjVu to PDF.rar',''); QuarantineFile('C:\WINDOWS\system\msvidc.drv',''); QuarantineFile('C:\WINDOWS\system\iccvid.drv',''); QuarantineFile('C:\WINDOWS\system\MSRLE.drv',''); QuarantineFile('C:\WINDOWS\system32\*.drv',''); DeleteFile('C:\WINDOWS\system32\*.drv'); DeleteFile('C:\WINDOWS\system\msvidc.drv'); DeleteFile('C:\WINDOWS\system\MSRLE.drv'); DeleteFile('C:\WINDOWS\system\iccvid.drv'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','WaveMapper'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.MRLE'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.CVID'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.MSVC'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. Изменено 31 октября, 2009 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
Lvrn 0 Опубликовано 2 ноября, 2009 Автор Share Опубликовано 2 ноября, 2009 Ответ из newvirus@kaspersky.com mciqtz.drvВредоносный код в файле не обнаружен. Может для ускорения лечения могут быть полезны следующие сведения: 1. Файл с вирусом, который был запущен, до сих пор на компьютере и программой AVZ пока не обнаружен Здравствуйте, crack.45155.exe - Trojan.Win32.FraudPack.xwl Детектирование файла будет добавлено в следующее обновление. Этот файл скорее всего заменил (изменил часть кода) системного(-ых) файлов. И, возможно, файла utorrent, т.к. при его запуске происходит его крах: uTorrent has crased. A crash dump has been saved as: xxxxx.dmpHow would you like to proceed? - Just relaunch the application - Submit this dump to the developers - Don't relaunch the application or send a crash dump [OK] При выборе 1 или 3 варианта (2-й не пробовал) краш-таблица появляется заново. Выбрасывается только по альт-контрол-дел. Логи прицепить не удалось, т.к. после последней перезагрузки похоже отрубилась Ява - сломалось оформление форума (видно только в тексте, а не ХТМЛ) и нет кнопок работы с файлами. Отправлю письмо и попробую запустить Яву. Вот так выглядит форум на моем экране (правая сторона). Левая - это плазма по HDMI. http://exfile.ru/64206 Прикрепил файлы через файлообменник: virusinfo_syscure.zip http://turbobit.net/3zg8gkog1nmn.html virusinfo_syscheck.zip http://turbobit.net/6ihkou7ezw7k.html hijackthis.log http://turbobit.net/igmqcn615be5.html Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 ноября, 2009 Share Опубликовано 2 ноября, 2009 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению. Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Lvrn 0 Опубликовано 2 ноября, 2009 Автор Share Опубликовано 2 ноября, 2009 Combofix не смог завершить работу. Лога не появилось. Картинку завершения combofix прикрепил http://turbobit.net/alpltwxtdegi.html p.s. АутПост выгрузил, Лису закрыл. Прогу запускал 2 раза с одинаковым эффектом. Цитата Ссылка на сообщение Поделиться на другие сайты
Vist@ 0 Опубликовано 3 ноября, 2009 Share Опубликовано 3 ноября, 2009 (изменено) А новую версию как предлагают на алерте по указанному там адресу пробовали закачать? Компьютер не проверяли CureIt, т.к. очень похоже на файловый вирус? Изменено 3 ноября, 2009 пользователем Vist@ Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 3 ноября, 2009 Share Опубликовано 3 ноября, 2009 Программа выдала подозрение на файловый вирус Скачайте ftp://devbuilds.kaspersky-labs.com/devbui...rescue_2008.iso Запишите образ на диск и проверьтесь, загрузившись с созданного диска Цитата Ссылка на сообщение Поделиться на другие сайты
Lvrn 0 Опубликовано 12 ноября, 2009 Автор Share Опубликовано 12 ноября, 2009 Скачайте ftp://devbuilds.kaspersky-labs.com/devbui...rescue_2008.isoЗапишите образ на диск и проверьтесь, загрузившись с созданного диска Диск касперского не помог, хотя обновил базы из интернета и нашел среди файлов, скачанных давно и неиспользовавшихся, один вирус. Решение нашлось среди просторов сети - http://virusinfo.info/showpost.php?p=114778&postcount=1 Программа WinSockFix убрала злощастную ошибку lsass Правда при этом сбились все настройки сети - IP-адрес, DNS-сервера, работа CFosSpeed. Но все это было настроить делов на 5 мин. Всем большое спасибо за участие! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.