Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Ошибка при инициализации приложения... (http://forum.oszone.net/showthread.php?t=167298)

kapsul 14-02-2010 09:04 1346688
Ошибка при инициализации приложения...
 
Здравствуйте.

При запущенном Касперском, винда выдает ошибку "Ошибка при инициализации приложения" при попытке открыть приложения, если стоит др.веб все работает без ошибок. Касперский ничего не находит, др.веб находит угрозу, при попытке лечения выскакивает синий экран смерти (лог на всякий случай прикрепил).

Делал все по вашей инструкции все логи прикрепил

http://files.mail.ru/CKCQUI - прикрепил сюда, больше никак не получается загрузить (

sanek_freeman 14-02-2010 10:28 1346710
kapsul, здравствуйте.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\WINDOWS\system32\mssfc.dll');
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
После данных процедур проблемы остались?

kapsul 14-02-2010 11:23 1346736
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

bcqr00001.ini,
bcqr00002.ini,
mssfc.dll

Файлы в процессе обработки.

bcqr00003.ini,
bcqr00004.ini

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского


Сделал все как написано выше, ошибка не выскакивает. Огромной спасибо!! Очень помогли. :clapping:

Если не трудно, можно узнать что это за гадость была?

kapsul 14-02-2010 12:42 1346775
Вложений: 3
Приложения работают нормально, но при открытии служб в панели управления либо офиса Касперский ругается на подозрительные действия в процессах. Не знаю можно ли их разрешить... Лог прикрепил. Потом запустил стандартный скрипт в AVZ #1 он удалил модули (сохранил отчет: avz_log.zip) , все начало запускаться, затем выполнил #4 он нашел несколько dll файлов засунул их в карантин в итоге появился лог "virusinfo_files_MICROSOF-034ACF.zip" 17mb!! После перезагрузки службы опять не запускаются и каспер ругается

sanek_freeman 14-02-2010 18:20 1346988
Цитата:
Цитата kapsul
Если не трудно, можно узнать что это за гадость была? »
c:\windows\system32\mssfc.dll - Trojan.Win32.Patched.fr ну и "запчасти" от него.

По логам чисто. Советую установить пакет обновлений SP3 для Windows XP.

kapsul 14-02-2010 19:04 1347025
вот лог свежий может быть там есть что-нибудь

sanek_freeman 14-02-2010 20:04 1347063
Ну не знаю, я ничего подозрительного не вижу. Подождем заключение других хелперов.

thyrex 14-02-2010 20:36 1347077
D:\Мои Документы\Bradulet.exe - что это за файл?

kapsul 14-02-2010 20:47 1347082
Не могу найти такой файл... Ругань касперского на rundll32.exe не прекрощается вообще... Интересно то, что при запуске стандартного скрипта №1 в AVZ все начинает нормально работать и каспер не орёт.

thyrex 14-02-2010 20:58 1347095
Пофиксите в HiJack
Код:
O4 - HKCU\..\Run: [Deluxe Tree] D:\Мои Документы\Bradulet.exe
Перезагрузитесь

Что-нибудь изменилось?

kapsul 14-02-2010 21:08 1347107
Вложений: 1
Ничего не изменилось. после поиска руткитов в AVZтакой лог:

akok 14-02-2010 22:21 1347184
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Активного заражения не вижу. Значит, посмотрим под другим ракурсом.

kapsul 14-02-2010 23:16 1347222
Вложений: 1
Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3739
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

14.02.2010 22:55:32
mbam-log-2010-02-14 (22-55-24).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 148762
Прошло времени: 21 minute(s), 19 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 4
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 4
Заражено файлов: 11

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:
C:\Documents and Settings\Admin\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.

Заражено файлов:
C:\Program Files\DrWeb\Infected.!!!\FieryAdsUninstal0.exe (Adware.FieryAds) -> No action taken.
C:\Program Files\DrWeb\Infected.!!!\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> No action taken.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer) -> No action taken.
C:\CUCANCHIC14\CUCANCHIC\bszip.dll (Worm.P2P) -> No action taken.
C:\RECYCLER\S-1-5-21-1482476501-1647877149-725345543-500\Dc3\License\iexplore.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action
taken.
C:\Documents and Settings\Admin\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.

sanek_freeman 15-02-2010 11:04 1347453
Цитата:
Цитата kapsul
....
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
.....»
Надеюсь вы удалили все что нашел МВАМ? Если нет, то удалите. По логу Gmer чисто. Есть какие-нибудь проблемы?


Время: 19:48.

Время: 19:48.
© OSzone.net 2001-