Я надеюсь, что все сделал правильно, старался следовать правилам, возможно выполнил не все требования из категории "желательно", но тем не менее.

Проблема "память не может быть "read"

Установка на ПК некоторых сомнительных приложений из сомнительных источников (безусловно моя ошибка), привела к возникновению ошибки при запуске абсолютно всех приложений:
"Инструкция по адресу *x******** обратилась к памяти по адресу *x********.
Память не может быть read"
ОК-закрыть ОТМЕНА-отладка

-отключение DEP абсолютно не дало результата
-проверка установленным Avira AntiVir не дала результата
-манипуляции с реестром, изложенные на сайте мелкомягких, не помогли
-процессы, которые вызвали ошибку мной найдены не были

Сейчас проблема устранена, это случилось после проверки с помощью AVZ
тем не менее прилагаю log файлы других проверок

И еще вопрос (если можно): на машине, на которой все произошло, теперь невозможно открыть почту на mail.ru сначала: "неверное имя пользователя или пароль", затем при попытке восстановить пароль: "пользователя с таким именем не существует"(вообще никаких пользователей не существует), но почта на яндексе работает вполне нормально, другие ресурсы побробовать не хватило времени. Может быть это ошибка IE??? завтра обязательно попробую установить Оперу, но сомневаюсь, что поможет

В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Сохраните текст ниже как файл fix.reg и примените (или полностью удалите в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2)
REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d87d2a3-fee1-11dc-99f5-00e04cc7ffcf}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba6e0273-2afd-11dc-9856-00e04cc7ffcf}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfc00558-f669-11dc-99e4-00e04cc7ffcf}]

Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
Перезагрузитесь, скачайте и запустите утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из этого не нужно? По службам можно почитать здесь (http://www.oszone.net/2517/)
повторите логи virusinfo_syscheck.zip, hijackthis.zip

Спасибо большое, завтра обязательно этим займусь, как только доберусь до этого ПК, если возникнут вопросы, сразу напишу

Пароли придется Вам менять на все программы.
Этот зверек ворует их на сторону.

что ж сразу подскажите человеку все-таки далекому от компьютеров, данные коды как использовать, я предположил, что нужно сделать файлы реестра и запустить, но получил ответ системы такой: Не удается импортировать "С:\.....\1_kod.reg": Указанныйц файл не является файлом данных реестра. Возможен импорт только двоичный файлов данных реестра.

Что делаю не так? Как исполнить код?

е удается импортировать "С:\.....\1_kod.reg" »
Оба reg файла, данные выше, работают, проверил, что у вас в 1_kod.reg? Если у вас fix.reg не работает, можете просто удалить в реестре целиком HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
Как исполнить код? »
Импорт параметров реестра (http://www.oszone.net/5602)

Это для того, как выполнить скрипт в AVZ:
http://virusinfo.info/showthread.php?t=7239

Извини Pili, нет под рукой ссылки на Ваш сайт.

что у вас в 1_kod.reg? »

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.Компьютер перезагрузится. »

PavelA_VI, ааа... это про скрипт :)

likerain, В общем в пост добавил строчки как запустить скрипт - перед самим скриптом, - есть в правилах (http://forum.oszone.net/thread-98169.html) - п.4.7
Скрипт надо запускать в AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить».

можете просто удалить в реестре целиком HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 »

там только один параметр, значение ему не присвоено, он не удаляется...

Кстати, по поводу того, что IE не открываал почту на mail.ru и считал что пользователей не существует - решил эту проблему от части просто установив Opera

там только один параметр, значение ему не присвоено, он не удаляется... »
по логам там присутствуют
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d87d2a3-fee1-11dc-99f5-00e04cc7ffcf}]
AutoRun\command- F:\xn1i9x.com
explore\Command- F:\xn1i9x.com
open\Command- F:\xn1i9x.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba6e0273-2afd-11dc-9856-00e04cc7ffcf}]
AutoRun\command- F:\xn1i9x.com
explore\Command- F:\xn1i9x.com
open\Command- F:\xn1i9x.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfc00558-f669-11dc-99e4-00e04cc7ffcf}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
Open\command- Boot.exe e
где карантин и новые логи?

Pili сейчас, сейчас, делаю

Получаю результаты "Do a system scan only", проставляю галочки ко всем строкам, нажимаю "Fix Checked" и выдается сообщение, что все это будет удалено? Я не силен в техническом английском... мне соглашатся?

C:\WINDOWS\system32\ntos.exe - Trojan-Spy.Win32.Zbot.bzp по Касперскому
C:\WINDOWS\vsnpstd3.exe - по VT чистый
Фиксить надо только те строчки, которые указаны

likerain, Самое прикольное, что такое было буквально на днях и у меня, работало 3-4 программа: Maxthon, AiMP, Kaspersky, QIP. Всё. В каком-то промежутке времени, приблизительно 15-20 минут, когда я не открывал ссылки, произошёл глюк. Глюк ли? Не знаю, так как явных изменений, тормозов, открытий, запуска чего-то, увеличение передаваемого трафика не было. Но после этого времени, хотел запустить обычную программку - ноль результатов, ошибка, память обратилась по адресу, и не может быть write... Закрываю Maxthon, пытаюсь открыть, тот же трабл с памятью. Закрываю по порядку по одной программе, что были запущены. (В запущенном состоянии они работают, так как находятся в памяти.) Запускаю, всё, ничего не открывается, Диспетчер задач, тот же номер. Перезагружаюсь, повторяю процедуры запуска - ничего, ошибка. Пробую CuretIt - без разницы, окромя рабочего стола, ничего нет. Что было делать?! Если ничего нельзя запустить, ни для проверки, ни для просьбы о помощи. Сразу, перезагрузил, и, благо был готовый образ, форматнул диск С: и восстановил.

Вижу только это:
О4 - HKLM \..\ Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

Возможно троян был излечен?
На всаякий случай приложу log перед тем как буду фиксить.
Прошу прощения за столько вопросов, боюсь совершить ошибку, да, и еще, карантин я отправил по почте.

log

что-то не получается выложить log, хотя файл прикреплен

прошу прощения - все нормально

Drongo у меня все было немного проще, как только вылетало сообщение об ошибке, я его задвигал за границы экрана, перезапускал приложение и оно нормально открывалось, но жить с этим было сложно... систему форматить было нельзя и готового образа не было

Вижу только это:
О4 - HKLM \..\ Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe »
это фиксить не надо (если у вас есть вебкамера)
да, и еще, карантин я отправил по почте. »
карнтин пришел, см. пост 14.
Кроме hijackthis (в архиве вы ещё вложили саму программу hijackthis.exe - можете удалить вложения и выложит просто лог) нужен новый лог AVZ virusinfo_syscheck.zip