-
Junior Member
- Вес репутации
- 62
Errorsafe, WinAntivirusPro
Здравствуйте,
Прошу прощение если это послание придет в непонятном виде, дело в том мой IE наполовину сдох, не работают гиперссылки и вложение файлов.
Ситуация такая: с первого дня работы компьютера появлялась (довольно редко) ошибка iexplore.exe « память не может быть “read”». Некоторое время назад словила Errorsafe, на их сайт, конечно, не заходила, но табличка постоянно всплывала. Потом появился WinAntivirusPro2007 и разная реклама. Ошибка «Память не может быть read» стала возникать каждую минуту. CureIT вылечил/удалил кучу зараженных троянами файлов, некоторые заподозрил на MULDROP Trojan. После лечения CureIT файл iexplore.exe потерялся.
Я сделала все, что у вас написано по части AVZ и HijackThis, но отправить сообщение и логи как положено не могу. Есть ли другой способ? Почта Yahoo у меня работает.
Надеюсь на вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
@donna_velata
Без анализов доктор может только цианистый калий прописать . А как Вы написали это сообщение? Есть другой браузер? Попробуйте восстановить системные файлы как тут написано: http://support.microsoft.com/?scid=k...10747&x=11&y=7
-
-
donna_velata, загляните в личку.
-
-
Junior Member
- Вес репутации
- 62
Спасибо за помощь, логи отправила по почте.IE работает частично, только через Избранное.
-
-
-
Последний раз редактировалось AndreyKa; 19.08.2008 в 21:07.
-
-
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\empp32.dll','');
QuarantineFile('appmgmts.dll','');
QuarantineFile('C:\WINDOWS\system32\lsasss.exe','');
QuarantineFile('C:\WINDOWS\runtfs32.exe','');
QuarantineFile('C:\WINDOWS\system32\tmpA.tmp.dll','');
QuarantineFile('C:\WINDOWS\iiigge.dll','');
CreateQurantineArchive(GetAVZDirectory+'10084_quarantine.zip');
end.
Пофиксте в HijackThis следующие строки:
O2 - BHO: (no name) - {930a0825-2baf-4ba0-9856-464e50e019be} - C:\WINDOWS\system32\empp32.dll (file missing)
O2 - BHO: (no name) - {A24B57F8-505D-4fc5-9960-740E304D1ABA} - C:\WINDOWS\system32\tmpA.tmp.dll
O4 - HKLM\..\Run: [ui] rundll32.exe "C:\WINDOWS\iiigge.dll",realset
O4 - HKCU\..\Run: [SysRestore] "C:\DOCUME~1\1\LOCALS~1\Temp\tmp3.tmp.exe"
O20 - AppInit_DLLs:
O20 - Winlogon Notify: empp32 - empp32.dll (file missing)
Перезагрузите компьютер.
Загрузите файл 10084_quarantine.zip из папки AVZ, используя эту ссылку.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.
Если не получится приложить, шлите снова по почте.
-
-
Junior Member
- Вес репутации
- 62
На странице загрузки файлов сказано, что архив должен быть с паролем "virus", а у меня просто quarantine.zip. Это надо исправить?
-
Сообщение от
donna_velata
На странице загрузки файлов сказано, что архив должен быть с паролем "virus", а у меня просто quarantine.zip. Это надо исправить?
Если выполнять все по правилам, то создание архива и его защита паролем происходит автоматически. Если Вы это сделали вручную, то архив нужно обязательно защитить паролем. В противном случае зараженные файлы могут быть вычищены антивирусом уже при скачивании.
-
-
Junior Member
- Вес репутации
- 62
AVZ само все сделало, вышлю как есть
-
Сообщение от
donna_velata
AVZ само все сделало, вышлю как есть
iiigge.dll
AntiVir TR/Dldr.ConHook.Gen
AVG Generic4.QWR
eSafe suspicious Trojan/Worm
Fortinet W32/VIRTUMON.DO!tr
F-Secure Trojan.Win32.Agent.agv
Ikarus Trojan-Spy.Win32.Bancos.ha
Kaspersky Trojan.Win32.Agent.agv
Microsoft Trojan:Win32/Virtumonde.M (threat-c)
NOD32v2 Win32/Adware.Virtumonde.NAB
Norman W32/Suspicious_U.gen
Panda Trj/Agent.FIV
Prevx1 Covert.Sys.Exec
Sophos Virtumundo
Sunbelt VIPRE.Suspicious
Webwasher-Gateway Trojan.Dldr.ConHook.Gen
tmpA.tmp.dll
AntiVir TR/Dldr.ConHook.Gen
BitDefender MemScan:Trojan.Agent.AADI
eSafe suspicious Trojan/Worm
Fortinet suspicious
Ikarus Trojan-Spy.Win32.Bancos.ha
Microsoft VirTool:Win32/Obfuscator.C
Norman W32/Suspicious_U.gen
Panda Suspicious file
Sophos Mal/Packer
Sunbelt VIPRE.Suspicious
Webwasher-Gateway Trojan.Dldr.ConHook.Gen
Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\iiigge.dll');
BC_DeleteFile('C:\WINDOWS\system32\tmpA.tmp.dll');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки новые логи + boot_clr.log закачайте по правилам.
Последний раз редактировалось Alex_Goodwin; 04.06.2007 в 03:50.
-
-
Junior Member
- Вес репутации
- 62
Эти скрипты нужно выполнять по-отдельности в три приема? Я стала делать первый , и AVZ сказало,что "begin" ожидается в позиции 1" или что-то в этом роде, и отказалось выполнять.
Я пока не могу прикреплять файлы как надо, потому что работают только те кнопки и ссылки которые можно занести в избранное. Другого браузера нет. Все что отвечает за прикрепление файлов в избранное почему-то не заносится. наверное придется делать так как предложил AndreyKa.
-
Только самый нижний (это и есть скрипт). Остальное выдержки из логов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
donna_velata
Эти скрипты нужно выполнять по-отдельности в три приема?
Нужно выполнить скрипт начиная от слова:
....
Выше стоит информация о том, какие вредители были задетектированы в закачаных файлах. Я подкорригирую мое сообщение, чтобы было понятнее.
EDIT: Спасибо PavelA
-
-
Junior Member
- Вес репутации
- 62
Как их много, однако.
Сейчас посмотрела, в меню Файл в том , что осталось от IE, над строкой Свойства есть вкладка Amazon.com. Online shopping for Electron. Это так и должно быть?
-
Сообщение от
donna_velata
Как их много, однако.
их два. Но высокого качества . На Вирустотал собраны различные Антивирусы, т.е. слева - имя фирмы, справа - как называется зловред по ее определению.
Сейчас посмотрела, в меню Файл в том , что осталось от IE, над строкой Свойства есть вкладка Amazon.com. Online shopping for Electron. Это так и должно быть?
Если Вы что-то покупали или хотели купить в этих онлайн-магазинах, то эти вкладки возможны.
Скрипт выполнили? Файлы отправили?
-
-
Junior Member
- Вес репутации
- 62
Да, выполнила и отправила
-
Последний раз редактировалось AndreyKa; 19.08.2008 в 21:07.
-
-
Еще два подозреваемых ускользнули от карантина.
Выполните скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lsasss.exe','');
QuarantineFile('C:\WINDOWS\runtfs32.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин (см. приложение 3 правил).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнила, карантин отправила.