-
Junior Member
- Вес репутации
- 54
Исключение неизвестное программное исключение - при запуске IE
Здравствуйте.
При запуске Internet Explorer'a, а также сбербанковского приложения, его использующего, появляется сообщение "Исключение неизвестное программное исключение (0хС0000409) в приложении по адресу 0х77с44а7f". Браузер не запускается. В результате невозможно работать с банковской программой.
Сообщение выводится при запуске IE также из его "родной" папки (program files\internet explorer\iexplore.exe). То же сообщение появляется при попытке ввести веб-адрес в окне windows-проводника.
Тем не менее, можно 'создать ярлык', указать там веб-адрес, и тогда IE открывается на заданной странице без проблем. (??)
Кроме того, периодически NOD32 выводит окно что заблокирован доступ к сайту "getlersan.org", причем окно появляется и при выключенном браузере.
При работающем браузере, в диспетчере задач имеются несколько процессов iexplore.exe, хотя окно всего одно.
Интернет страницы часто не грузятся, приходится нажимать "обновить" несколько раз. На других компьютерах в той же локальной сети такого не наблюдается.
Я запускал проверку разными антивирусами, трояны находятся, но проверка никогда не доходит до конца - компьютер виснет. Может быть, от перегрева?
Прошу помощи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('iv5dt2f5.exe','');
QuarantineFile('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\l7mo1wrw5wa.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
-
-
Junior Member
- Вес репутации
- 54
Выполнил, отправил, симптомы пока по-прежнему
-
Ничего в карантин не попало.
Поищите файл iv5dt2f5.exe вручную
C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\l7mo1wrw5wa.exe -
проверьте на virustotal.com
если не знаете что это.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
В указанной папке проводник файлов не видит. Совсем. Отображение скрытых и системных файлов включено.
Скачал FAR Manager, нашел им файл 'iv5dt2f5.exe' в указанной папке. Файла 'l7mo1wrw5wa.exe' не нашлось нигде. Сделал архив с этим файлом, прислал в карантин.
Добавлено через 6 часов 45 минут
Вы получили новый карантин? Может, снова логи сделать?
Последний раз редактировалось Shroom; 13.04.2011 в 17:11.
Причина: Добавлено
-
Пофиксите в HijackThis:
Код:
O4 - Startup: iv5dt2f5.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\*.exe',' ');
DeleteFile('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\l7mo1wrw5wa.exe');
DeleteFile('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\iv5dt2f5.exe');
DeleteFileMask('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup','*.exe', false);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
-
-
Junior Member
- Вес репутации
- 54
Браузер теперь запускается нормально. Но куча красных надписей в AVZ пугают. Карантин тоже отправил - по ссылке вверху.
-
А вы не пугайтесь.
Теперь по логам чисто.
У вас побывал вор паролей интернет-банковских систем.
Так что срочно рекомендую сменить в них все пароли.
А заодно и все остальные (почта, форумы, сайты, социальные сети и т.д. и т.п.)
-
-
Junior Member
- Вес репутации
- 54
К сожалению, сегодня все те же симптомы обьявились вновь, хотя вчера после лечения не было. Каков вообще механизм проникновения этой заразы? Логи смогу завтра сделать.
-
Обновлены Java и Adobe Acrobat ?
-
-
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Сделал логи, потом уже попытался сам что-то лечить. Логи до лечения - для чистоты эксперимента.
Обнаружился опять .exe-файл с хитрым названием в Start Menu\Programs\Startup, я его вписал в скрипт выше, удалил таким образом.
Adobe Acrobat был последней версии. Java не мог проверить - в панели управления значок Java не запускался - ругался так же, как и браузер (см.название темы).
Сделал проверку утилитой Касперского, указанной выше - нашлись трояны, удалены в двух файлах:
lowsec\\local.ds
lowsec\\user.ds
После лечения обновил Java. Сейчас симптомов нет, но как и в прошлый раз, боюсь их возобновления.
-
Установите все обновления безопасности:
http://windowsupdate.microsoft.com/
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
-
-
Junior Member
- Вес репутации
- 54
Windows на компьютере обновляется регулярно.
После выполнения скрипта нашлась одна уязвимость - Adobe Flash Player. Я даже не знал, что она вообще на этом компьютере есть и должна обновляться. В итоге обновил.
Пока симптомов нет, но я на всякий случай еще антивирусами погоняю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\танюша\\start menu\\programs\\startup\\iv5dt2f5.exe - Trojan-Spy.Win32.Zbot.bizr ( DrWEB: Trojan.Carberp.1, BitDefender: Trojan.Generic.KDV.187145, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\oanyxwl.dll - Trojan-Ransom.Win32.Cidox.gen ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.292831, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Agent-ANCK [Trj] )
- \\quarantine\\iv5dt2f5.exe - Trojan-Spy.Win32.Zbot.bjad ( DrWEB: Trojan.Carberp.1, BitDefender: Trojan.Generic.KDV.187847, AVAST4: Win32:Qbot [Wrm] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-