Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   При запуске любых приложений ошибка "память не может быть read" (http://forum.oszone.net/showthread.php?t=107893)

likerain 27-05-2008 20:33 812149
Вложений: 3
Я надеюсь, что все сделал правильно, старался следовать правилам, возможно выполнил не все требования из категории "желательно", но тем не менее.

Проблема "память не может быть "read"

Установка на ПК некоторых сомнительных приложений из сомнительных источников (безусловно моя ошибка), привела к возникновению ошибки при запуске абсолютно всех приложений:
"Инструкция по адресу *x******** обратилась к памяти по адресу *x********.
Память не может быть read"
ОК-закрыть ОТМЕНА-отладка

-отключение DEP абсолютно не дало результата
-проверка установленным Avira AntiVir не дала результата
-манипуляции с реестром, изложенные на сайте мелкомягких, не помогли
-процессы, которые вызвали ошибку мной найдены не были

Сейчас проблема устранена, это случилось после проверки с помощью AVZ
тем не менее прилагаю log файлы других проверок

likerain 27-05-2008 21:50 812223
И еще вопрос (если можно): на машине, на которой все произошло, теперь невозможно открыть почту на mail.ru сначала: "неверное имя пользователя или пароль", затем при попытке восстановить пароль: "пользователя с таким именем не существует"(вообще никаких пользователей не существует), но почта на яндексе работает вполне нормально, другие ресурсы побробовать не хватило времени. Может быть это ошибка IE??? завтра обязательно попробую установить Оперу, но сомневаюсь, что поможет

Pili 27-05-2008 22:10 812247
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Сохраните текст ниже как файл fix.reg и примените (или полностью удалите в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2)
Код:
REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d87d2a3-fee1-11dc-99f5-00e04cc7ffcf}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba6e0273-2afd-11dc-9856-00e04cc7ffcf}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfc00558-f669-11dc-99e4-00e04cc7ffcf}]
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Перезагрузитесь, скачайте и запустите утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из этого не нужно? По службам можно почитать здесь
повторите логи virusinfo_syscheck.zip, hijackthis.zip

likerain 27-05-2008 23:43 812343
Спасибо большое, завтра обязательно этим займусь, как только доберусь до этого ПК, если возникнут вопросы, сразу напишу

PavelA_VI 28-05-2008 10:33 812597
Пароли придется Вам менять на все программы.
Этот зверек ворует их на сторону.

likerain 28-05-2008 10:49 812612
что ж сразу подскажите человеку все-таки далекому от компьютеров, данные коды как использовать, я предположил, что нужно сделать файлы реестра и запустить, но получил ответ системы такой: Не удается импортировать "С:\.....\1_kod.reg": Указанныйц файл не является файлом данных реестра. Возможен импорт только двоичный файлов данных реестра.

Что делаю не так? Как исполнить код?

Pili 28-05-2008 11:01 812621
Цитата:
Цитата likerain
е удается импортировать "С:\.....\1_kod.reg" »
Оба reg файла, данные выше, работают, проверил, что у вас в 1_kod.reg? Если у вас fix.reg не работает, можете просто удалить в реестре целиком HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
Цитата:
Цитата likerain
Как исполнить код? »
Импорт параметров реестра

PavelA_VI 28-05-2008 11:02 812622
Это для того, как выполнить скрипт в AVZ:
http://virusinfo.info/showthread.php?t=7239

Извини Pili, нет под рукой ссылки на Ваш сайт.

likerain 28-05-2008 11:08 812628
Цитата:
Цитата Pili
что у вас в 1_kod.reg? »
Цитата:
Цитата Pili
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.Компьютер перезагрузится. »

Pili 28-05-2008 11:09 812629
PavelA_VI, ааа... это про скрипт :)

likerain, В общем в пост добавил строчки как запустить скрипт - перед самим скриптом, - есть в правилах - п.4.7
Скрипт надо запускать в AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить».

likerain 28-05-2008 11:15 812633
Цитата:
Цитата Pili
можете просто удалить в реестре целиком HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 »
там только один параметр, значение ему не присвоено, он не удаляется...

Кстати, по поводу того, что IE не открываал почту на mail.ru и считал что пользователей не существует - решил эту проблему от части просто установив Opera

Pili 28-05-2008 11:21 812639
Цитата:
Цитата likerain
там только один параметр, значение ему не присвоено, он не удаляется... »
по логам там присутствуют
Цитата:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d87d2a3-fee1-11dc-99f5-00e04cc7ffcf}]
AutoRun\command- F:\xn1i9x.com
explore\Command- F:\xn1i9x.com
open\Command- F:\xn1i9x.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba6e0273-2afd-11dc-9856-00e04cc7ffcf}]
AutoRun\command- F:\xn1i9x.com
explore\Command- F:\xn1i9x.com
open\Command- F:\xn1i9x.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfc00558-f669-11dc-99e4-00e04cc7ffcf}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
Open\command- Boot.exe e
где карантин и новые логи?

likerain 28-05-2008 11:25 812641
Pili сейчас, сейчас, делаю

Получаю результаты "Do a system scan only", проставляю галочки ко всем строкам, нажимаю "Fix Checked" и выдается сообщение, что все это будет удалено? Я не силен в техническом английском... мне соглашатся?

Pili 28-05-2008 11:43 812667
C:\WINDOWS\system32\ntos.exe - Trojan-Spy.Win32.Zbot.bzp по Касперскому
C:\WINDOWS\vsnpstd3.exe - по VT чистый
Фиксить надо только те строчки, которые указаны

Drongo 28-05-2008 11:48 812673
likerain, Самое прикольное, что такое было буквально на днях и у меня, работало 3-4 программа: Maxthon, AiMP, Kaspersky, QIP. Всё. В каком-то промежутке времени, приблизительно 15-20 минут, когда я не открывал ссылки, произошёл глюк. Глюк ли? Не знаю, так как явных изменений, тормозов, открытий, запуска чего-то, увеличение передаваемого трафика не было. Но после этого времени, хотел запустить обычную программку - ноль результатов, ошибка, память обратилась по адресу, и не может быть write... Закрываю Maxthon, пытаюсь открыть, тот же трабл с памятью. Закрываю по порядку по одной программе, что были запущены. (В запущенном состоянии они работают, так как находятся в памяти.) Запускаю, всё, ничего не открывается, Диспетчер задач, тот же номер. Перезагружаюсь, повторяю процедуры запуска - ничего, ошибка. Пробую CuretIt - без разницы, окромя рабочего стола, ничего нет. Что было делать?! Если ничего нельзя запустить, ни для проверки, ни для просьбы о помощи. Сразу, перезагрузил, и, благо был готовый образ, форматнул диск С: и восстановил.

likerain 28-05-2008 11:56 812679
Вижу только это:
О4 - HKLM \..\ Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

Возможно троян был излечен?
На всаякий случай приложу log перед тем как буду фиксить.
Прошу прощения за столько вопросов, боюсь совершить ошибку, да, и еще, карантин я отправил по почте.

likerain 28-05-2008 11:58 812680
Вложений: 1
log

likerain 28-05-2008 12:00 812686
Вложений: 1
что-то не получается выложить log, хотя файл прикреплен

прошу прощения - все нормально

likerain 28-05-2008 12:07 812697
Drongo у меня все было немного проще, как только вылетало сообщение об ошибке, я его задвигал за границы экрана, перезапускал приложение и оно нормально открывалось, но жить с этим было сложно... систему форматить было нельзя и готового образа не было

Pili 28-05-2008 12:14 812703
Цитата:
Цитата likerain
Вижу только это:
О4 - HKLM \..\ Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe »
это фиксить не надо (если у вас есть вебкамера)
Цитата:
Цитата likerain
да, и еще, карантин я отправил по почте. »
карнтин пришел, см. пост 14.
Кроме hijackthis (в архиве вы ещё вложили саму программу hijackthis.exe - можете удалить вложения и выложит просто лог) нужен новый лог AVZ virusinfo_syscheck.zip

likerain 28-05-2008 13:34 812761
Вложений: 1
Да, вебкамера присутствует, ничего не фиксил, вот новые логи

Pili 28-05-2008 13:58 812774
likerain, в логах чисто, проблема ещё осталась?

Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из этого не нужно?
По службам можно почитать здесь, дополнительно по безопасности Windows можете почитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и здесь
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

likerain 28-05-2008 14:04 812779
Проблема ушла, огромное спасибо, со службами буду разбиратся сейчас, выставлю все как описано в рекомендациях (ПК используется вне ЛВС, доступ в интернет DSL), защиту от autorun.inf инф провел, только не вижу вновь созданных каталогов с именем autorun.inf на дисках (даже в скрытых) после использования Flash Drive Disinfector

Еще раз огромное спасибо зарешение помощь и решение проблемы!

Pili 28-05-2008 14:32 812808
Цитата:
Цитата likerain
только не вижу вновь созданных каталогов с именем autorun.inf »
странный глюк, встречал такой 1 раз на 10 случаев исп-ия, в основном отрабатывает (антивирусы и др. защ. программы надо отключать), в общем можете вручную создавать каталоги autorun.inf c атрибутами "системный" и "для чтения". Как решите что не нужно - напишите, сделаем скриптом.

likerain 28-05-2008 15:21 812872
Цитата:
Цитата Pili
странный глюк, встречал такой 1 раз на 10 случаев исп-ия, в основном отрабатывает (антивирусы и др. защ. программы надо отключать), в общем можете вручную создавать каталоги autorun.inf c атрибутами "системный" и "для чтения" »
при попытке создать каталог autorun.inf система утверждает, что файл с таким именем уже существует (на каждом диске и на флешке)... но только они не отображаются даже среди скрытых

Цитата:
Цитата Pili
Как решите что не нужно - напишите, сделаем скриптом. »
в принципе подробно почитал о службах и перевел их в режимы нужные для нормальной работы (в соответствии с рекомендациями)

Pili 28-05-2008 15:53 812901
Цитата:
Цитата likerain
при попытке создать каталог autorun.inf система утверждает, что файл с таким именем уже существует »
значит утилита Flash Drive Disinfector отработала, попробуйте посмотреть через FAR, в каталоге autorun.inf (он скрыт) должен быть файл "lpt3.this folder was created by flash_disinfector"

likerain 28-05-2008 16:09 812906
да, все отлично, через FAR я его увидел, файл есть!!! Спасибо!

Да, и после смены пароля на почтовом ящике (через оперу), его теперь можно открыть через IE... и вот только недавно обнаружил, что QIP так же не может залогиниться, сейчас попробую с мобильного поменять пароль

Pili 28-05-2008 16:18 812919
likerain, советовали же
Цитата:
Цитата PavelA_VI
Пароли придется Вам менять на все программы.
Этот зверек ворует их на сторону. »


Время: 05:48.

Время: 05:48.
© OSzone.net 2001-