Подозрения на вирус! (ошибка при инициализации приложения 0xc0000005)

[3kilos]

Здравствуйте!

Возникли подозрения на заражение вирусом.

Все началось сегодня утром.

Включил компьютер, ОС загрузилась, Касперский тоже, подключился к интернету и при попытки запустить браузер Firefox появилась ошибка: «ошибка при инициализации приложения 0xc0000005». Запуск IE дал точно такой же результат. Также не запустились еще некоторые приложения: Total Commander, UTorrent и т.д. Вызов диспетчера задач тоже не получился.

Выбрал перезагрузку, и после сохранения данных появился синий экран: KERNEL_MODE_EXCEPTION_NOT_HANDLED

 

*** STOP: 0x1000008e (0xc0000005, 0x80642f99, 0xf7666aa8, 0x00000000)

 

*** sfc.SYS - Address 0xaf59c324 base at 0xaf59b000 DateStamp 0x4dab6005

Загрузился снова. Теперь начали запускаться все приложения, но диспетчер задач по-прежнему нельзя было вызвать. Начал искать информацию в Интернете, но из-за нехватки времени прочел только эти две статьи:

http://forum.kaspersky.com/lofiversion/ind...hp/t125251.html

http://www.securelist.com/ru/descriptions/...in32.Patched.fr

Удалил сначала файл sfcfiles.dll и перезагрузился, но синий экран снова появился.

Загрузился еще раз, диспетчер задач уже можно вызвать, потом удалил файл mssfc.dll и выключил компьютер.

Когда вечером пришел, включил компьютер, все нормально работало, перезагрузка не заканчивалась синим экраном.

 

Может удалением этих двух файлов, я покончил с вирусом, но я не уверен?

Посмотрите, пожалуйста, логи, все ли в порядке в них.

 

Заранее спасибо!

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

Пофиксите в Hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: (no name) -  - (no file)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)
O24 - Desktop Component 0: (no name) - http://img-fotki.yandex.ru/getx/10000/photoface.220/nautilus3000_110536_L

 

В hosts правки Вы вносили?

Если нет, пофиксите и эти строки:

O1 - Hosts: 172.16.0.1 tracker.game
O1 - Hosts: 172.16.0.1 www.tracker.game
O1 - Hosts: 172.16.0.3 retracker.local

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[3kilos]

В hosts я вносил изменения.

 

После того как пофиксил

O24 - Desktop Component 0: (no name) - http://img-fotki.yandex.ru/getx/10000/photoface.220/nautilus3000_110536_L

 

Пропал фоновый рисунок с рабочего стола.

Сейчас сделаю логи Malwarebytes' Anti-Malware.

[Roman_Five]

Пропал фоновый рисунок с рабочего стола.

сори. та ссылка была нерабочая, поэтому и пошла "под нож".

[3kilos]

Да ничего страшного.

 

А вот

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)

- походу не фиксится, после сканирования снова этот пункт присутствует.

[Roman_Five]

походу не фиксится, после сканирования снова этот пункт присутствует.

запустите HJT от имени администратора

[3kilos]

При попытке запуска от имени Администратора выдает сообщение: Не удается войти в систему. Вход в систему не произведен: имеются ограничения связанны с учетной записью. Возможные причины: запрещены пустые пароли, ограничено время входа или применены ограничения групповой политики.

[Roman_Five]

странно.

Вы работаете с правами админа.

пока оставим в покое RichVideo.exe - это всего лишь "мусор".

 

ждём лог MBAM.

[3kilos]

Хорошо, ждем лог!

Изменено 24 апреля, 2011 пользователем 3kilos

[3kilos]

Лог MBAM.

 

Правда там много keygen'ов.

mbam_log_2011_04_24__03_43_57_.txt

[Roman_Five]

кейгены на Ваше усмотрение. всё, что не надо, можно удалить.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('c:\documents and settings\Лёха\application data\zd61q7r.exe ','Malware.Gen');
QuarantineFile('c:\documents and settings\Лёха\application data\zplm18m.exe ','Malware.Gen   ');
QuarantineFile('c:\documents and settings\Лёха\application data\ad on multimedia\ebay shortcuts\ebayshortcuts.exe ','Adware.ADON');
QuarantineFile('c:\documents and settings\Лёха\local settings\temp\0.29496683277299496.exe ','Spyware.Passwords.XGen');
QuarantineFile('c:\documents and settings\Лёха\рабочий стол\for c5-00\Vboy\VKeyGen.exe ','Spyware.OnlineGames');
QuarantineFile('c:\documents and settings\Лёха\рабочий стол\for c5-00\Vnes\VKeyGen.exe ','Spyware.OnlineGames ');
QuarantineFile('c:\program files\hddguru llf tool\LLFTOOL.EXE ','Backdoor.Bot ');
QuarantineFile('c:\RECYCLER\s-1-5-21-436374069-299502267-682003330-1003\Dc3.dll ','Trojan.Patch');
QuarantineFile('c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP217\A0088186.dll ','Trojan.Patch');
QuarantineFile('d:\system volume information\_restore{6ec23741-9d12-49fd-a621-94b8d555cbcb}\RP22\A0001418.exe ','RiskWare.Tool.CK');
QuarantineFile('c:\documents and settings\Лёха\application data\fieryads.dat ','Adware.FieryAds');
QuarantineFile('c:\documents and settings\Лёха\oashdihasidhasuidhiasdhiashdiuasdhasd ','Malware.Trace');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Удалите в MBAM:

c:\documents and settings\Лёха\application data\zd61q7r.exe (Malware.Gen) -> No action taken.
c:\documents and settings\Лёха\application data\zplm18m.exe (Malware.Gen) -> No action taken.
c:\documents and settings\Лёха\local settings\temp\0.29496683277299496.exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\hddguru llf tool\LLFTOOL.EXE (Backdoor.Bot) -> No action taken.
c:\RECYCLER\s-1-5-21-436374069-299502267-682003330-1003\Dc3.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP217\A0088186.dll (Trojan.Patch) -> No action taken.
d:\system volume information\_restore{6ec23741-9d12-49fd-a621-94b8d555cbcb}\RP22\A0001418.exe (RiskWare.Tool.CK) -> No action taken.
c:\documents and settings\Лёха\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\documents and settings\Лёха\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

 

Проверьте на virustotal.com

c:\documents and settings\Лёха\рабочий стол\for c5-00\Vboy\VKeyGen.exe
c:\documents and settings\Лёха\рабочий стол\for c5-00\Vnes\VKeyGen.exe
c:\documents and settings\Лёха\application data\ad on multimedia\ebay shortcuts\ebayshortcuts.exe
h:\Видео\приколы, 3gp-ролики\Флэшки\Приколы\Stress.exe
h:\Разное\MOTO\pst_7.2.3\pst_7.2.3\pst_uni_patch.exe

5 ссылок на результаты проверки прикрепите.

 

Сделайте лог RSIT

http://defendium.info/showthread.php/20-Kа...ью-утилиты-rsit

 

+

Win+R

cmd

sfc /scannow

(проверим, не снесли ли вы что-нибудь важного в системе)

[3kilos]

Отправил карантин на проверку. Довольно быстро пришло письмо:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:
https://my.kaspersky.com/ru/support/viruslab.
Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов.
Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.
Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

A0001418.exe,
bcqr00006.dat,
bcqr00014.dat,
bcqr00020.dat,
bcqr00024.dat,
ebayshortcuts.exe,
oashdihasidhasuidhiasdhiashdiuasdhasd

Вредоносный код в файлах не обнаружен.

A0088186.dll,
bcqr00002.dat,
bcqr00004.dat,
bcqr00010.dat,
bcqr00012.dat,
bcqr00016.dat,
bcqr00018.dat,
bcqr00022.dat,
Dc3.dll,
fieryads.dat,
VKeyGen.exe,
VKeyGen_0.exe,
zd61q7r.exe,
zplm18m.exe

Файлы в процессе обработки.

С уважением, Лаборатория Касперского

Это и есть необходимый ответ?

 

Удалил 9 файлов в MBAM.

 

virustotal.com выдает ошибку при попытке загрузки любого файла:

Server error!

The server encountered an internal error and was unable to complete your request. Either the server is overloaded or there was an error in a CGI script.

If you think this is a server error, please contact the

 

Прикрепил лог RSIT.

 

Сканирование sfc не получается:

C:\Documents and Settings\Лёха>sfc/scannow
Защита файлов Windows не смогла запустить сканирование защищенных системных файл
ов.

Код ошибки: 0x000006ba [Сервер RPC недоступен.
].

info.txt

log.txt

[Roman_Five]

Это и есть необходимый ответ?

придёт ещё один. он более интересен.

Удалил 9 файлов в MBAM.

нужно было прикрепить новый лог MBAM. поищите в папке с программой.

virustotal.com выдает ошибку

и у меня так. какие-то проблемы с сервером. потом проверите те 5 файлов, чтобы знать, удалять ли их.

+ проверьте этот:

C:\WINDOWS\system32\spmsg.dll

 

Найдите диск с дистрибутивом Windows XP SP3 (та, что установлена на PC). Перед выполнением скрипта вставьте диск в дисковод.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
 begin
ExecuteFile('sfc /scannow', '', 1, 0, true);
AddToLog('Пользователь выполнил "sfc /scannow"');
SaveLog('Recover_' + Name + '.log');
 end
else
 begin
AddToLog('Пользователь выбрал самостоятельный способ замены.');
SaveLog('Recover_' + Name + '.log');
 end;
end;

Procedure CompleteFix(Path, Name : string);
begin
  RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
  CopyFile(Path + Name, '%windir%\system32\' + Name);
  DeleteFile('%windir%\system32\' + Name + '.bak');
end;

Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
 if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
  begin
 AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
 SaveLog('Recover_' + Name + '.log');
 SysFileRecoverFromDistrib(Path, Name);
  end
 else if FileExists('%windir%\system32\dllcache\' + Name) then
  begin
if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
  begin
	CompleteFix('%windir%\system32\dllcache\', Name);
	AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
	SaveLog('Recover_' + Name + '.log');
  end
else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
 begin
   if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
	begin
	  CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
	  AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
	  SaveLog('Recover_' + Name + '.log');
	end
 end
  end;
if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then
 begin
AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
SaveLog('Recover_' + Name + '.log');
SysFileRecoverFromDistrib(Path, Name);
 end;
end;

var SourcePath : String;
begin
SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');
end.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\drivers\sfc.sys','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

прикрепите файл Recover_sfcfiles.log из директории AVZ

 

За скрипт огромная благодарность akoK'у.

[3kilos]

Спасибо, сейчас будем восстанавливать.

 

+ добавим тот файл для проверки на сайте.

 

Логи MBAM.

Сначала просто делал проверку диска C, а потом D, поэтому их два.

Файл

c:\documents and settings\Лёха\local settings\temp\0.29496683277299496.exe (Spyware.Passwords.XGen) -> No action taken.

был удален ранее Антивирусом Касперского.

 

upd. Добавил лог AVZ.

mbam_log_2011_04_24__17_11_43_.txt

mbam_log_2011_04_24__17_37_33_.txt

Recover_sfcfiles.dll.log

Изменено 24 апреля, 2011 пользователем 3kilos

[Roman_Five]

Win+R

cmd

sfc /scannow

пробуйте снова. о результате отпишитесь