Вываливается Internet Explorer (ошибка RUNTIME ERROR 204 AT ...)

[altch]

Системная ошибка ID 1000, Описание: Ошибка приложения iexplore.exe, версия 8.0.6001.18702, модуль Zh4sBsN.dll, версия 0.0.0.0, адрес 0x0000228d.

[Info_bot]

Уважаемый(ая) altch, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Zh4sBsN.dll','');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

[altch]

Прошу прощения, в-первый раз отправил архив без пароля. Отчет о закачке: Файл сохранён как 111219_225513_quarantine_4eefc0d131817.zip

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
RegSearch('HKLM', '', 'Zh4sBsN.dll');
SaveLog(GetAVZDirectory + 'avz.log');
end.

Скрипт будет выполняться несколько минут.
По окончании в папке AVZ появится файл avz.log.
Приложите его в теме.

Физический доступ к серверу есть?

[altch]

Доступ - только удаленно.

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Zh4sBsN.dll');
 RegKeyDel('HKLM','SYSTEM\ControlSet001\Services\WinSock2\update PathName');
 RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\WinSock2\update PathName');
 RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\WinSock2\update PathName');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\WinSock2\update PathName');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportDeletedList;
 BC_DeleteReg('HKLM\SYSTEM\ControlSet001\Services\WinSock2\update PathName');
 BC_DeleteReg('HKLM\SYSTEM\ControlSet002\Services\WinSock2\update PathName');
 BC_DeleteReg('HKLM\SYSTEM\ControlSet003\Services\WinSock2\update PathName');
 BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\update PathName');
 BC_LogFile(GetAVZDirectory + 'bc_log.txt');
 BC_Activate;
 ExecuteSysClean;
 SaveLog(GetAVZDirectory+'avzlog.txt');
end.

В папке AVZ появится файл avzlog.txt. Приложите его в теме.

Перезагрузите сервер вручную в удобное для пользователей время.

После перезагрузки приложите файл bc_log.txt из папки AVZ.

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.

[altch]

При перезагрузке пропала сеть. Не запускалась служба IPSec (ошибка 7023), пришлось отключить ее. Эксплорер заработал (это потребность партнерских сервисов. Матих...) Но есть ощущение, что "песня не допета" . Спасибо!

[Nikkollo]

Зловред удален (Trojan.Win32.Diple.djzk ).

Какое именно у вас ощущение?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\all users\\application data\\zh4sbsn.dll - Trojan.Win32.Diple.djzk ( DrWEB: BackDoor.Siggen.42921, BitDefender: Gen:Variant.Kazy.47764, AVAST4: Win32:MalOb-IR [Cryp] )