Решена - исключение unknown software exception (0x40000015)

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем vitam, 1 июл 2011.

Статус темы:
Закрыта.
  1. vitam

    vitam Junior User

    Добрый день. У меня раз в пол часа выдается сообщение "исключение unknown software exception (0x40000015) в приложении по адресу 0x0043a47f". Воспользовавшись инструкцией сделал шаги
    http://exfile.ru/189360 - hijackthis.log
    http://exfile.ru/189363 - virusinfo_syscheck.zip
    http://exfile.ru/189364 - virusinfo_syscure.zip
     
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\documents and settings\Виталий\local settings\application data\yandex\updater\fixhosts.exe');
     QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
     QuarantineFile('C:\Program Files\MediaGet\mediaget.exe','');
     QuarantineFile('c:\documents and settings\Виталий\local settings\application data\yandex\updater\fixhosts.exe','');
     DeleteFile('c:\documents and settings\Виталий\local settings\application data\yandex\updater\fixhosts.exe');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: UrlSearchHook Class -  {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program  Files\Ask.com\GenericAskToolbar.dll
    R3 - URLSearchHook: Kino-Filmov.Net Toolbar -  {1a894269-562d-459e-b17e-efd8de428e41} - C:\Program  Files\Kino-Filmov.Net\tbKino.dll
    O2 - BHO: Kino-Filmov.Net Toolbar - {1a894269-562d-459e-b17e-efd8de428e41} - C:\Program Files\Kino-Filmov.Net\tbKino.dll
    O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
    O2 - BHO: AlterGeoBHO Class -  {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - C:\Program  Files\AlterGeo\AlterGeo Magic  Scanner\2.8.3.585\AlterGeo.BrowserPlugin.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O3 - Toolbar: Kino-Filmov.Net Toolbar - {1a894269-562d-459e-b17e-efd8de428e41} - C:\Program Files\Kino-Filmov.Net\tbKino.dll
    O4 - HKUS\S-1-5-19\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL  SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'Default user')
    O16 - DPF: {4C833081-D026-4FF8-968F-7EAB660D2FBA} (TVAnts ActiveX  Control) - http://download.livetv.ru/livetv.ru/cab/tvants.cab.rar
    [B][COLOR=Blue]Если вам [B]НЕ[/B] известны следующие DNS адреса, удалите соответствующую строку:[/COLOR][/B]
    [COLOR=Blue]O17 - HKLM\System\CCS\Services\Tcpip\..\{A57CE5D9-CE13-4073-89D9-B08F9CFDAAEB}: NameServer = [URL="http://www.hijackthis.de/whois.php"]212.94.96.70[/URL],[URL="http://www.hijackthis.de/whois.php"]212.94.96.124[/URL]
    O17 - HKLM\System\CS3\Services\Tcpip\..\{03D60BC2-C5C8-4EE0-A414-2C1D221C1999}: NameServer = [URL="http://www.hijackthis.de/whois.php"]212.94.96.124[/URL] [URL="http://www.hijackthis.de/whois.php"]212.94.96.70[/URL][/COLOR]
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  3. vitam

    vitam Junior User

  4. oleg

    oleg Expert Вирусоборец

    В MBAM УДАЛИТЕ:

    Статус проблемы какой?
     
  5. vitam

    vitam Junior User

    Большое спасибо! Вирусы удалены, сообщений нет и работают все сайты.
     
Статус темы:
Закрыта.

Поделиться этой страницей