Appcrash

[Ferien 0]

Доброго времени суток!

Вообщем искал игру,нашёл...скачал файл...запустил...комп перезагрузился.И началось

Мозила,все приложения на автозагрузке, Office ,игры , всё подряд закрывается при загрузке.

ОС-Windows 7.

В окошке пишет следующееэто при попытке запустить документ Word)

Сигнатура проблемы:

Имя события проблемы: APPCRASH

Имя приложения: WINWORD.EXE

Версия приложения: 11.0.5604.0

Отметка времени приложения: 3f314a2f

Имя модуля с ошибкой: StackHash_9e32

Версия модуля с ошибкой: 0.0.0.0

Отметка времени модуля с ошибкой: 00000000

Код исключения: c0000005

Смещение исключения: 01dc1946

Версия ОС: 6.1.7600.2.0.0.768.2

Код языка: 1049

Дополнительные сведения 1: 9e32

Дополнительные сведения 2: 9e32d0a1170d3dc5343a96a269ed2f86

Дополнительные сведения 3: fd92

Дополнительные сведения 4: fd92ca2c86348170b213376a24aeb1a7

 

Открылся только 64-разрядный IE

 

Прошу помощи!

Изменено 28 ноября, 2011 пользователем Ferien

[Roman_Five 598]

Ferien,

 

попробуйте сделать стандартные логи из правил раздела "Уничтожение вирусов".

http://forum.kasperskyclub.ru/index.php?showtopic=31551

 

если AVZ и RSIT не запустятся, скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в iexplore.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

[Ferien 0]

СomboFix запустился,ито с горем пополам.Файл прикрепил.

ComboFix.txt

[Roman_Five 598]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\windows\SysWow64\hdswwzl.dll
c:\windows\SysWow64\2C00.tmp

RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Содержимое папки C:\Qoobox\Quarantine заархивируйте с паролем virus и отошлите карантин через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте стандартные логи по правилам раздела (AVZ + RSIT).

[Ferien 0]

На самом деле проблема устранилась без операций,указанных вами в последнем сообщении.

Вопрос: стоит ли проделывать данную операцию и какой она несёт в себе смысл?(задаю этот вопрос только ради интереса и понимания цели)

И если не сложно,скажите ,вирус ли это и как в дальнейшем избежать данных промахов с моей стороны?

[Roman_Five 598]

стоит ли проделывать данную операцию

стоит.

какой она несёт в себе смысл?

удалит зловреда и его временный файл, а также снимет лок на ветки в реестре.

вирус ли это

да.

как в дальнейшем избежать данных промахов

рекомендации в конце лечения.

[Ferien 0]

Прикрепил файл.Архив отослал.

Логи AVZ и RSIT сейчас сделаю.

 

отослал по "форме" следующий файл, гляньте, правильно ли пароль поставил и те ли файлы заархивировал.

 

логи AVZ and RSIT

 

Пришёл ответ на e-mail :

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

AddRemove-Shockwave.reg.dat,

catchme.log,

create_a_site.ico.vir,

Wow6432Node-Toolbar-Locked.reg.dat

 

Файлы в процессе обработки.

 

catchme.txt

 

Файл нулевой длины.

 

HKLM-Run-ETDWare.reg.dat,

opera6.ini.vir,

operaprefs_fixed.ini.vir,

operaprefs_fixed.ini.vir,

Toolbar-Locked.reg.dat

 

Вредоносный код в файлах не обнаружен.

 

С уважением, Лаборатория Касперского

ComboFix.txt

Архив_ZIP___WinRAR.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five 598]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\windows\SYSWOW64\*.tmp','');
QuarantineFile('c:\Qoobox\C\Windows\SysWOW64\hdswwzl.dll.vir','');
DeleteFile('C:\windows\SYSWOW64\2C00.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Деинсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Изменено 30 ноября, 2011 пользователем Roman_Five

[Ferien 0]

При попытке выполнить 1ый скрип возникла проблема:

окна AVZ помутнели и вылезла ошибка.

 

Сигнатура проблемы:

Имя события проблемы: APPCRASH

Имя приложения: avz.exe

Версия приложения: 4.37.0.12

Отметка времени приложения: 2a425e19

Имя модуля с ошибкой: ntdll.dll

Версия модуля с ошибкой: 6.1.7600.16695

Отметка времени модуля с ошибкой: 4cc7ab86

Код исключения: c0000005

Смещение исключения: 00046d5e

Версия ОС: 6.1.7600.2.0.0.768.2

Код языка: 1049

Дополнительные сведения 1: e8ad

Дополнительные сведения 2: e8adce1c2b9e7be834b4063ac3c53863

Дополнительные сведения 3: e8ad

Дополнительные сведения 4: e8adce1c2b9e7be834b4063ac3c53863

 

P.S были закрыты все приложении(в трее ничего не было),выключен браузер и так далее

[Roman_Five 598]

При попытке выполнить 1ый скрип возникла проблема:

скрипт подкорректировал. выполните его в безопасном режиме.

 

после этого выполняйте все остальные рекомендации.

[Ferien 0]

Архив Qurantine.zip, так же как и папка Quarantine в директории AVZ пусты.Отправлять пустой архив?

[Roman_Five 598]

Отправлять пустой архив?

нет.

после этого выполняйте все остальные рекомендации.

[Ferien 0]

...нежданчик...

mbam_log_2011_12_01__04_29_48_.txt

[Roman_Five 598]

c:\Игры\Ra2\ra2.exe

проверьте на virustotal.com

ссылку на результат проверки приложите

 

деинсталлируйте MBAM

 

что с проблемой?

[Ferien 0]

http://www.virustotal.com/file-scan/report...0d73-1322734899