Показано с 1 по 6 из 6.

Блокируется запуск браузеров (Opera, IE) [WinXP SP3] (заявка № 113852)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2011
    Сообщений
    3
    Вес репутации
    45

    Блокируется запуск браузеров (Opera, IE) [WinXP SP3]

    Здравствуйте. Столкнулся с очень неприятной проблемой.

    Обо всём по порядку...

    Проблема началась два дня назад. Я как обычно сёрфил по сайтам в опере. При загрузке очередной страницы, высветилось окно от антивируса (у меня установлен Comodo Internet Security). В окне были сведения о том, что найден какой-то опасный файл, кажется в папке Temp. Позор мне конечно, но особо не запаниковал, спокойно нажал "обезвредить", "удалить" и т.д. Даже, честно говоря, не обратил внимания на разновидность этого опасного файла, но кажется, это был какой-то троян. Удаление подозрительных файлов сразу при их обнаружении, всегда безотказно помогало. И как на зло, ума не приложу почему, в настройках Comodo было отключено ведение журнала антивируса, так что сейчас посмотреть, что это был за файл, уже не удастся.

    Ну так вот, как только я нажал "удалить", окно Comodo исчезло, но также исчезла и Opera (использую версию 11.60). Я попробовал запустить её заново. Реакции никакой. Песочные часы немного повращались вокруг курсора, и всё. Т.к. в Windows рестарт является решением 50% возможных проблем, я решил перезагрузиться. Не помогло.

    Дальше я попробовал загрузить IE (установлена восьмая версия), которым обычно не пользуюсь. И тут, о сюрприз! Уведомление от jit-отладчика (на машине стоит MS Visual Studio). "Необработанное исключение win32 произошло в iexplore.exe". И предложение выполнить отладку в студии. И так при каждом запуске.

    Но дело в том, что никаких модификаций в настройках браузеров я уже давно не производил (и уж точно тем вечером). Никакого нового софта, плагинов и т.п. Так что мысль о том, что эти программы не работают по моей вине или по вине каких то изменений, показалась странной. Тем не менее, я решил почистить внутренние каталоги Opera, будь то кэш, сессии и т.д. Не помогло.

    Дальше я вспомнил про сообщение от Comodo, и решил запустить полную проверку. Длительное ожидание, и опять отсутствие результата. Скачал Dr.Web Cure It!, запустил проверку в его безопасном режиме, и тоже безрезультатно. Всё чисто.

    Начал тестировать всё установленное ПО на предмет аналогичных глюков. Неожиданно выявились такие же проблемы с запуском у MPC-hc (Media Player Classic) из пакета k-lite. При каждом его запуске также выводится предложение "поотлаживаться". Странно даже как-то. Всё остальное пока запускается и работает.

    Решил последить за Opera в диспетчере задач во время попыток её запуска. При запуске opera.exe появляется в списке процессов, но через секунду исчезает. Вот и все симптомы. Никаких crash-логов. Решил попробовать удалить Opera. Запускаю её удаление из менеджера установки\удаления программ, но окно удаления, только моргнув, закрывается. Тоже самое при установке. Скачал дистрибутив на другом компе, закинул на флешку. При запуске по-честному происходит распаковка файлов дистрибутива (наверное в папку Temp). Но как дело доходит до запуска установки, опять... либо вообще ничего, либо моргнёт окошечко и тут же закроется. Если действительно это дело рук какого-то вируса, то он просто адский.

    Проверил комп GMER и HiJackThis, ничего криминального. Дальше скачал AVZ. Тоже ничего криминального. Найдены перехваты некоторых системных функций, но без опыта трудно судить о причине. Все требуемые логи в аттаче.

    Загрузка Windows в безопасном режиме тоже совершенно не помогает.

    Дальше путём исследования возможностей AVZ, наткнулся на AVZGuard. Поигравшись с ним, смог таки запустить Opera в режиме доверенного приложения. В первый раз как запустил Opera, сразу выключил AVZGuard. Как это не странно, сразу смог запустить IE и MPC. Уже обрадовался, что всё исправил. Рестарт. Но проблемы никуда не делись. Однако методика первое время помогала. AVZGuard -> запуск опера как доверенного приложения -> всё работает. Но так продолжалось не долго.

    Вот уже второй день с каждым разом прибавляются всё новые симптомы в этом плане. Опера в режиме доверенного приложения уже не запускается с первого раза. Сейчас как повезёт. Причём после каждой попытки запуска в диспетчере задач остаётся куча 1. либо процессов opera.exe (которые постепенно все сами закрываются), 2. либо процессов vsjitdebugger.exe (тот самый отладчик студии, но вот процессы отладчика уже сами не открываются). Причём с каждым разом этих процессов остаётся всё больше. Последний раз загруженых экземпляров процесса vsjitdebugger.exe было 170 шт!!! Замучался закрывать. Хотя сообщений от отладчика для Opera нет никаких (только куча процессов), они бывают только при запуске IE и MPC.

    И всё время что-то новое. То Opera начнёт наконец выдавать кучи crash-сообщений, но логи... сколько ни искал, найти не смог. IE и MPC запустить уже практически не получается. А Opera, если запустится, то ужасно тупит. Неправильно отображает сайты, не до конца загружает страницы, не отображает "картинки" при переключении вкладок и т.п.

    Также, как мне показалось, роутер, через который раздаётся сеть на все компы дома, стал подтупливать. Особенно заметно это проявляется в том, что на всех домашних ноутах с семёркой, постоянно высвечивается предупреждение о режиме "ограниченного соединения" (в свойствах соединения видно, что роутер раздаёт им совершенно дикие ip адреса, а скорость соединения дико мала). Неужто вирус уже и до роутера добрался? Хотя про роутер это скорее догадки. Но у меня уже паранойя.

    P.S. Если помогут какие-нибудь скриншоты, например, окон c ошибками, оперативно сделаю.

    Извиняюсь за столь подробное и объёмное описание, но в таком деле, наверно, лучше много, чем мало.

    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) slon29, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Здравствуйте.

    Пофиксите в HijackThis (как пофиксить):
    Код:
    F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\apppatch\pohdodd.exe,
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('E:\WINDOWS\Installer\1fcc5.msi','');
     DelBHO('{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}');
     QuarantineFile('E:\WINDOWS\apppatch\pohdodd.exe','');
     DeleteFile('E:\WINDOWS\apppatch\pohdodd.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

    Добавлено через 2 минуты

    Эту строку сами вставляли в файл hosts?
    O1 - Hosts: 172.31.30.3 retracker.local
    Последний раз редактировалось Nikkollo; 16.12.2011 в 21:46. Причина: Добавлено
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Junior Member Репутация
    Регистрация
    16.12.2011
    Сообщений
    3
    Вес репутации
    45
    Большое спасибо за оперативный ответ.

    quarantine.zip загрузил. Логи прикрепил.

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Эту строку сами вставляли в файл hosts?
    O1 - Hosts: 172.31.30.3 retracker.local
    Да, это айпи локального ретрекера

    А что самое гланое... Opera, IE и MPC теперь запускаются и работают. Посмотрим что будет дальше.

    Огромное спасибо, вы очень сильно помогаете людям.

    P.S. Что за зверь то такой этот pohdodd.exe? Comodo к нему равнодушен.
    Вложения Вложения
    Последний раз редактировалось slon29; 17.12.2011 в 00:51.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    DrWEB 6.0=Зловред Trojan.PWS.Ibank.456
    Рекомендую сменить пароли в интернет-банковских системах, если пользуетесь таковыми.

    По логам больше интересного не обнаружил.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. Это понравилось:


  8. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\\windows\\apppatch\\pohdodd.exe - Backdoor.Win32.Shiz.aixs ( DrWEB: Trojan.PWS.Ibank.456, BitDefender: Backdoor.Agent.ABAJ, NOD32: Win32/Spy.Shiz.NCF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) slon29, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 14.12.2011, 03:17
    2. Блокируется работа браузеров
      От Бедеев в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.08.2011, 12:01
    3. блокируется работа браузеров(FF, Opera)
      От Кауфман в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.03.2011, 15:32
    4. блокируется работа браузеров
      От pro100chuvak в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.03.2011, 17:20
    5. Ответов: 14
      Последнее сообщение: 22.02.2009, 05:32

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00620 seconds with 20 queries