Ошибка Runtime error 216 at ..

@Ostin13 · Регистрация: 15.10.2010

Author24 — интернет-сервис помощи студентам

Здравствуйте, с недавних пор стал замечать вылетания окошек с ошибками "Runtime error 216 at ..." (где ... - это каждый раз разный набор цифр). Гугл говорит что это вирус, сканировал множественными антивирусными продуктами, чистил от мусора файли на компе, проверял реестр на наличие ошибок, все безрезультатно! При чем абсолютно, никак не менялось поведение. Заметил что вылетает эта ошибка когда я запускаю интернет радио на AIMP-е и как утверждает Process Explorer, действительно родителем становиться AIMP, но оказывается и не только, а еще и plugin-container.exe от Mozilla, (просто так, даже в бездейственном состоянии), и Photoshop. Пока других не замечал. Все эти программы неоднократно переустанавливал начисто, то есть сносил их, чистил все после них, перегружал машину и снова устанавливал.
Видел подобную тему здесь, но кажется у меня немного другое.

Подскажите что еще можно сделать, что посмотреть, что проверить?!

ОС: Windows 7 - 32bit
Логи прилагаю (все сделал по инструкции).

@arbitr · 16.10.2010, 00:38

c:\program files\ia\ia.exe знакомо?? проверьте на virustotal.com ссылку приложить
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Vint\AppData\Local\Temp\CYbYVE41.sys','');
 DeleteFile('C:\Users\Vint\AppData\Local\Temp\CYbYVE41.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('CYbYVE41');
BC_Activate;
RebootWindows(true);
end.

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

@Ostin13 · 16.10.2010, 02:59 **[ТС]**

ia.exe - это мой авторизатор для интернета (местный провайдер), но все равно проверил, он чист!

По скрипту все сделал.

Предоставляю логи MBAM-а. Нашел 13 инфицированных обьекта. Что с ними делать?!

@arbitr · 16.10.2010, 14:32

удалить с помощью MBAM следующие объекты (для удаления нужно повторное сканирование)

Код

D:\$RECYCLE.BIN\S-1-5-21-1361722985-181190919-1617276396-1000\$RS4Z1FA.sfx (Malware.Packer.Gen) -> No action taken.
D:\$RECYCLE.BIN\S-1-5-21-1361722985-181190919-1617276396-1000\$RVV3AV3.exe (Malware.Packer.Gen) -> No action taken.
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.

знаете ..обновите java на java.com и flashplayer

@Ostin13 · 16.10.2010, 16:17 **[ТС]**

Все сделал! Осталось без изменений

@Ostin13 · 16.10.2010, 16:53 **[ТС]**

Вот решил скрины показать, может чем поможет?

@Ostin13 · 16.10.2010, 23:08 **[ТС]**

arbitr, есть еще какие то варианты?

@arbitr · 16.10.2010, 23:27

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

@Ostin13 · 17.10.2010, 16:34 **[ТС]**

Все сделал! Кажется все получилось!!!

Спасибо огромное!!!

Еще чуть послежу и отпишусь. На всякий случай логи ComboFix вылаживаю!!!
Кстати, это действительно был вирус?! И что он делал?!

@Ostin13 · 17.10.2010, 16:49 **[ТС]**

Перегрузил машину и все снова начало вылетать!

@Ostin13 · 17.10.2010, 17:23 **[ТС]**

Снова запустил все манипуляции с ComboFix, до перезагрузки все работает отлично и не вылетают никакие ошибки, только перегрузил, все повторяется заново!
Вот следующие логи ComboFix.

@Ostin13 · 17.10.2010, 23:40 **[ТС]**

Есть еще варианты какие то?

@arbitr · 18.10.2010, 13:51

C:\32788R22FWJFW папка знакома??
проверить на virustotal.com файл
c:\program files\Mozilla Firefox\QRST5.EXE
ссылку на результат приложить
лог комбо переделываем не забывая отключить все антивирусное ПО

@Ostin13 · 18.10.2010, 14:40 **[ТС]**

Папка C:\32788R22FWJFW не знакома, я ее уже удалял после первой проверки КомбоФиксом, кажется это он ее создает, п.ч. после второй проверки она снова появилась. После не удалял, и сейчас висит тоже. Проверил в ней файл cmd.cfxxe.mui на вирустотал, он чист. Вот ссылка на результат.

И ссылка на результат c:\program files\Mozilla Firefox\QRST5.EXE

Сейчас еще раз все проделаю с комбофиксом.

@Ostin13 · 18.10.2010, 16:47 **[ТС]**

Запустил комбофикс, все проверил, но проблема осталась!

Логи Комбофикса:

@arbitr · 18.10.2010, 19:25

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код

KillAll::
File::
Driver::
Registry::
Folder::
RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

@Ostin13 · 18.10.2010, 22:29 **[ТС]**

Сделал. Логи прилагаю.

Кстати, заметил что появились в корне диска С:\ новые папки: $RECYCLE.BIN (этот файл именно как папка показывается), Qoobox (как я понял - это папка ComboFix-а), Recovery, RecoveryBin ну и осталась та загадочная папка 32788R22FWJFW (хотя я подозреваю что это что то связанно с обновлениями Windows).

@arbitr · 18.10.2010, 23:04

ну что..ключи разблокирвоали...сделайте еще раз плиз MBAM и понаблюдайте за проблемами
возможно приедтся тему в другую ветку переносить..по работе Win

@Ostin13 · 19.10.2010, 18:48 **[ТС]**

MBAM-ом все снова проверил - безрезультатно! То есть это не вирус?! как мне тогда перенести в соответствующую ветку тему?

@Ostin13 0 / 0 / 0 Регистрация: 15.10.2010 Сообщений: 13
	17.10.2010, 23:40 [ТС]	12
	Есть еще варианты какие то? 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	16.10.2010, 00:38	2
	c:\program files\ia\ia.exe знакомо?? проверьте на virustotal.com ссылку приложить Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Vint\AppData\Local\Temp\CYbYVE41.sys',''); DeleteFile('C:\Users\Vint\AppData\Local\Temp\CYbYVE41.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('CYbYVE41'); BC_Activate; RebootWindows(true); end. Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. 1

@Ostin13 0 / 0 / 0 Регистрация: 15.10.2010 Сообщений: 13
	16.10.2010, 16:17 [ТС]	5
	Все сделал! Осталось без изменений 0

@Ostin13 0 / 0 / 0 Регистрация: 15.10.2010 Сообщений: 13
	16.10.2010, 16:53 [ТС]	6
	Вот решил скрины показать, может чем поможет? Миниатюры Изображения 0

@Ostin13 0 / 0 / 0 Регистрация: 15.10.2010 Сообщений: 13
	16.10.2010, 23:08 [ТС]	7
	arbitr, есть еще какие то варианты? 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	16.10.2010, 23:27	8
	Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe 1

@Ostin13 0 / 0 / 0 Регистрация: 15.10.2010 Сообщений: 13
	17.10.2010, 16:49 [ТС]	10
	Перегрузил машину и все снова начало вылетать! 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	18.10.2010, 13:51	13
	C:\32788R22FWJFW папка знакома?? проверить на virustotal.com файл c:\program files\Mozilla Firefox\QRST5.EXE ссылку на результат приложить лог комбо переделываем не забывая отключить все антивирусное ПО 0

@Ostin13 0 / 0 / 0 Регистрация: 15.10.2010 Сообщений: 13
	18.10.2010, 14:40 [ТС]	14
	Папка C:\32788R22FWJFW не знакома, я ее уже удалял после первой проверки КомбоФиксом, кажется это он ее создает, п.ч. после второй проверки она снова появилась. После не удалял, и сейчас висит тоже. Проверил в ней файл cmd.cfxxe.mui на вирустотал, он чист. Вот ссылка на результат. И ссылка на результат c:\program files\Mozilla Firefox\QRST5.EXE Сейчас еще раз все проделаю с комбофиксом. 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	18.10.2010, 23:04	18
	ну что..ключи разблокирвоали...сделайте еще раз плиз MBAM и понаблюдайте за проблемами возможно приедтся тему в другую ветку переносить..по работе Win 0

@Ostin13 0 / 0 / 0 Регистрация: 15.10.2010 Сообщений: 13
	19.10.2010, 18:48 [ТС]	19
	MBAM-ом все снова проверил - безрезультатно! То есть это не вирус?! как мне тогда перенести в соответствующую ветку тему? 0