Показано с 1 по 15 из 15.

Исключение неизвестное программное исключение - при запуске IE (заявка № 100710)

  1. #1
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    14
    Вес репутации
    54

    Exclamation Исключение неизвестное программное исключение - при запуске IE

    Здравствуйте.

    При запуске Internet Explorer'a, а также сбербанковского приложения, его использующего, появляется сообщение "Исключение неизвестное программное исключение (0хС0000409) в приложении по адресу 0х77с44а7f". Браузер не запускается. В результате невозможно работать с банковской программой.

    Сообщение выводится при запуске IE также из его "родной" папки (program files\internet explorer\iexplore.exe). То же сообщение появляется при попытке ввести веб-адрес в окне windows-проводника.

    Тем не менее, можно 'создать ярлык', указать там веб-адрес, и тогда IE открывается на заданной странице без проблем. (??)

    Кроме того, периодически NOD32 выводит окно что заблокирован доступ к сайту "getlersan.org", причем окно появляется и при выключенном браузере.

    При работающем браузере, в диспетчере задач имеются несколько процессов iexplore.exe, хотя окно всего одно.

    Интернет страницы часто не грузятся, приходится нажимать "обновить" несколько раз. На других компьютерах в той же локальной сети такого не наблюдается.

    Я запускал проверку разными антивирусами, трояны находятся, но проверка никогда не доходит до конца - компьютер виснет. Может быть, от перегрева?

    Прошу помощи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Здравствуйте.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('iv5dt2f5.exe','');
     QuarantineFile('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\l7mo1wrw5wa.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    14
    Вес репутации
    54
    Выполнил, отправил, симптомы пока по-прежнему

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Ничего в карантин не попало.
    Поищите файл iv5dt2f5.exe вручную
    C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\l7mo1wrw5wa.exe -
    проверьте на virustotal.com
    если не знаете что это.
    Paula rhei.
    Поддержать проект можно тут

  6. #5
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    14
    Вес репутации
    54
    В указанной папке проводник файлов не видит. Совсем. Отображение скрытых и системных файлов включено.

    Скачал FAR Manager, нашел им файл 'iv5dt2f5.exe' в указанной папке. Файла 'l7mo1wrw5wa.exe' не нашлось нигде. Сделал архив с этим файлом, прислал в карантин.

    Добавлено через 6 часов 45 минут

    Вы получили новый карантин? Может, снова логи сделать?
    Последний раз редактировалось Shroom; 13.04.2011 в 17:11. Причина: Добавлено

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Пофиксите в HijackThis:
    Код:
    O4 - Startup: iv5dt2f5.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\*.exe',' ');
     DeleteFile('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\l7mo1wrw5wa.exe');
     DeleteFile('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup\iv5dt2f5.exe');
     DeleteFileMask('C:\Documents and Settings\Танюша\Start Menu\Programs\Startup','*.exe', false);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    14
    Вес репутации
    54
    Браузер теперь запускается нормально. Но куча красных надписей в AVZ пугают. Карантин тоже отправил - по ссылке вверху.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    А вы не пугайтесь.
    Теперь по логам чисто.
    У вас побывал вор паролей интернет-банковских систем.
    Так что срочно рекомендую сменить в них все пароли.
    А заодно и все остальные (почта, форумы, сайты, социальные сети и т.д. и т.п.)
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    14
    Вес репутации
    54
    К сожалению, сегодня все те же симптомы обьявились вновь, хотя вчера после лечения не было. Каков вообще механизм проникновения этой заразы? Логи смогу завтра сделать.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Обновлены Java и Adobe Acrobat ?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    + пройдитесь утилитой http://support.kaspersky.ru/viruses/...&qid=208636281
    Paula rhei.
    Поддержать проект можно тут

  13. #12
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    14
    Вес репутации
    54
    Сделал логи, потом уже попытался сам что-то лечить. Логи до лечения - для чистоты эксперимента.

    Обнаружился опять .exe-файл с хитрым названием в Start Menu\Programs\Startup, я его вписал в скрипт выше, удалил таким образом.

    Adobe Acrobat был последней версии. Java не мог проверить - в панели управления значок Java не запускался - ругался так же, как и браузер (см.название темы).

    Сделал проверку утилитой Касперского, указанной выше - нашлись трояны, удалены в двух файлах:
    lowsec\\local.ds
    lowsec\\user.ds

    После лечения обновил Java. Сейчас симптомов нет, но как и в прошлый раз, боюсь их возобновления.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Установите все обновления безопасности:
    http://windowsupdate.microsoft.com/

    Выполните скрипт в AVZ отсюда:
    http://df.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
    Выполните еще раз скрипт в http://df.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  15. #14
    Junior Member Репутация
    Регистрация
    11.08.2009
    Сообщений
    14
    Вес репутации
    54
    Windows на компьютере обновляется регулярно.

    После выполнения скрипта нашлась одна уязвимость - Adobe Flash Player. Я даже не знал, что она вообще на этом компьютере есть и должна обновляться. В итоге обновил.

    Пока симптомов нет, но я на всякий случай еще антивирусами погоняю.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 5
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\танюша\\start menu\\programs\\startup\\iv5dt2f5.exe - Trojan-Spy.Win32.Zbot.bizr ( DrWEB: Trojan.Carberp.1, BitDefender: Trojan.Generic.KDV.187145, AVAST4: Win32:Malware-gen )
      2. c:\\windows\\system32\\oanyxwl.dll - Trojan-Ransom.Win32.Cidox.gen ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.292831, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Agent-ANCK [Trj] )
      3. \\quarantine\\iv5dt2f5.exe - Trojan-Spy.Win32.Zbot.bjad ( DrWEB: Trojan.Carberp.1, BitDefender: Trojan.Generic.KDV.187847, AVAST4: Win32:Qbot [Wrm] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Shroom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 22.05.2012, 23:19
    2. Ответов: 8
      Последнее сообщение: 23.09.2011, 08:17
    3. Ответов: 3
      Последнее сообщение: 06.05.2011, 05:04
    4. Исключение брошено и не найдено
      От barracuda91 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.04.2010, 06:44
    5. Ответов: 15
      Последнее сообщение: 27.04.2009, 12:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00800 seconds with 17 queries