Добрый день. Помогите решить проблему.
На ноутбуке стоит "родная" W7 home basic, 6 июня возникла проблема - 32битные приложения стали закрываться с ошибкой 0xc0000005.
В отладчике видно, что возникает она на инструкциях по чтению памяти, адрес которой обычно берётся из регистра(например mov dl, [eax]), но при этом адрес или 0 или указывает непонятно куда.
Надо сказать, падают не все приложения, к примеру падают winamp, notepad++, modplug palyer, а не падает diabloII.
В отладчике, в callstack'е, из неродных была билиотека guard32(от comodo), сначала подумал из-за этого, но после удадения фаервола проблема осталась.
Иногда в process explorer Руссиновича видны, в списке загруженных модулей, файлы index.dat из папок со временными файлами IE(им я не поьзуюсь совсем).
Гугл подсказал выполнить sfc /scannow, делал и в безопасном режиме и нет, не помогло.
В журнале появляются подобные записи(код события 1000, категория 100):
Цитата:
Имя сбойного приложения: MTS Connect.exe, версия: 1.0.0.1, отметка времени: 0x49152ef7
Имя сбойного модуля: MTS Connect.exe, версия: 1.0.0.1, отметка времени 0x49152ef7
Код исключения: 0xc0000005
Смещение ошибки: 0x0003804a
Идентификатор сбойного процесса: 0x658
Время запуска сбойного приложения: 0x01cc2671b1628fb6
Путь сбойного приложения: C:\Program Files (x86)\MTS Connect\MTS Connect.exe
Путь сбойного модуля: C:\Program Files (x86)\MTS Connect\MTS Connect.exe
Код отчета: b23f5d00-9265-11e0-a849-9cc4a6433b44
|
Сторонние программы не устанавливал в последние время, никаких вирусных атак замечено небыло. AVZ так же никакой информации не дал, кроме
Цитата:
Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BE5F5A->77A48944
Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BE5F75->77A33F54
Функция user32.dll:DefWindowProcA (1664) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BE5F90->77A12893
Функция user32.dll:DefWindowProcW (1665) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BE5FAB->77A0247D
|
Чем снять перехват сейчас, даже не знаю, раньше бы rootkit unhooker'ом воспользовался.
RootkitRevealer от Руссиновича падает моментально при попытке запуска.
Может кто-нибудь подскажет, как можно решить без переустановки системы, т.к. это довольно накладно.
