Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   kernelbase.dll (http://forum.oszone.net/showthread.php?t=227142)

Dimon_Mz 06-02-2012 00:19 1852537
kernelbase.dll
 
Добрый вечер! Помогите пожалуйста! Со своей машины писать уже не могу... Опера вылетает с такой ошибкой (после удаления не ставится с такой же):

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: Opera.exe
Версия приложения: 11.61.1250.0
Отметка времени приложения: 4f1d3f70
Имя модуля с ошибкой: KERNELBASE.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bdaae
Код исключения: c00000fd
Смещение исключения: 00006e3f
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: 6b77
Дополнительные сведения 2: 6b77fa5c464bdb73424088360158166e
Дополнительные сведения 3: 2986
Дополнительные сведения 4: 2986fb32cc15b45c74ceafe7fbe64d28

Ознакомьтесь с заявлением о конфиденциальности в Интернете:
http://go.microsoft.com/fwlink/?link...8&clcid=0x0419

Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с его локальным вариантом:
C:\Windows\system32\ru-RU\erofflps.txt

Эксплорер (ИЕ) тупит по страшному, Хром не ставится (тоже kernelbase.dll), DrWeb оооооочень долго проверяет, иногда выкидывает на синий экран...извините, что сумбурно...первый раз такое. Направьте, что делать...

Win7

zirreX 06-02-2012 00:24 1852540
Здравствуйте! Выполните правила .

Dimon_Mz 06-02-2012 18:38 1853007
Вложений: 2
  • info.txt (28.50 KB, скачиваний: 15)
  • log.txt (34.90 KB, скачиваний: 16)
Файлы выложил. Очень надеюсь на вашу помощь!

S.R 06-02-2012 19:00 1853018
Сейчас посмотрю логи.

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\AppPatch\wjxiyq.exe','');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\d425e2ee\X','');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\d425e2ee\X');
 DeleteFile('C:\Windows\AppPatch\wjxiyq.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
 DeleteFileMask('C:\Users\Дмитрий\AppData\Roaming\384E7D89', '*.*', true);
 DeleteFileMask('C:\Users\Дмитрий\AppData\Roaming\MicroST', '*.*', true);
 DeleteDirectory('C:\Users\Дмитрий\AppData\Roaming\384E7D89');
 DeleteDirectory('C:\Users\Дмитрий\AppData\Roaming\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


Сделайте новые логи AVZ & RSIT

  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
  • После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

Dimon_Mz 06-02-2012 22:47 1853172
Вложений: 3
Сделал.

thyrex 07-02-2012 01:18 1853270
Удалите в МВАМ
Код:
C:\Program Files\DrWeb\Infected.!!!\X.5B7B15F8 (Rootkit.Dropper) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\d425e2ee\U\000000c0.@ (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\d425e2ee\U\000000cb.@ (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\d425e2ee\U\800000cb.@ (Backdoor.0Access) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\Temp\jar_cache6159232467650291031.tmp (Trojan.Agent.BGen5) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Local\Temp\0.3491370391514922.exe (Trojan.Agent.BGen5) -> Действие не было предпринято.
D:\System Volume Information\_restore{0EAE8077-4250-4C33-8CF9-51695A6F61F7}\RP171\A0044593.Exe (Trojan.FakeAlert) -> Действие не было предпринято.
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Autorun) -> Действие не было предпринято.
C:\Users\Дмитрий\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Действие не было предпринято.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Действие не было предпринято.

Dimon_Mz 07-02-2012 20:12 1853779
Удалил. Теперь при установке Оперы выскакивает следующие:

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: Opera.exe
Версия приложения: 11.61.1250.0
Отметка времени приложения: 4f1d3f70
Имя модуля с ошибкой: StackHash_1849
Версия модуля с ошибкой: 0.0.0.0
Отметка времени модуля с ошибкой: 00000000
Код исключения: c0000096
Смещение исключения: 06902b24
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: 1849
Дополнительные сведения 2: 1849c407aa744b99a33024028db9ebe7
Дополнительные сведения 3: 278a
Дополнительные сведения 4: 278a97cc308ba686c6e5e86a61fc7a30

Ознакомьтесь с заявлением о конфиденциальности в Интернете:
http://go.microsoft.com/fwlink/?link...8&clcid=0x0419

Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с его локальным вариантом:
C:\Windows\system32\ru-RU\erofflps.txt

хотя опера стоит и работает. Уже за это спасибо!

S.R 07-02-2012 20:41 1853795
Повторите логи.

thyrex 07-02-2012 22:24 1853862
А также

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe


Время: 18:35.

Время: 18:35.
© OSzone.net 2001-