Периодически и без какой-либо системы падает браузер mozilla firefox. Чуть с меньшей частотой - Opera.
Попытка проверить компьютер Dr Web CureIt не привела к успеху, поскольку файл не загружался (на несколько секунд появлялся в Диспетчере задач и исчезал)
Также компьютер не открывался в Безопасном режиме, но реестр был восстановлен. Позже была проведена проверка в Безопасном режиме Dr Web CureIt и Kaspersky Virus Removal Tool. Вирусы не найдены.
В реестре была обнаружена ветке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon по параметру Usernit
следующая запись
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\apppatch\htjlcv.exe
Также ссылка содержалась в параметре system и просто обозначение htjlcv в одном из параметров Firefox (SOFTWARE)
По указанному адресу файл не был найден (показ скрытых файлов был включен)
Ссылка в реестре была отовсюду удалена, но проблема падения браузеров не исчезла.
Заранее спасибо за ответ!
Последний раз редактировалось Aivika; 04.11.2012 в 01:28.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Aivika, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteService('TSP');
QuarantineFile('C:\WINDOWS\System32\drivers\623bc025.sys','');
DeleteService('623bc025');
DeleteFile('C:\WINDOWS\System32\drivers\623bc025.sys');
DeleteFile('C:\WINDOWS\system32\drivers\klif.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O20 - AppInit_DLLs: ,
Обнаруженные ключи в реестре: 10
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Действие не было предпринято.
HKCU\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.
HKCU\SOFTWARE\TMAgency (Adware.TMAagent) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 3
HKCU\Software\Microsoft|setiasworld (Malware.Trace) -> Параметры: e33wnrtpyyymbxbsk2ptqdgkqnk2ba3 -> Действие не было предпринято.
HKCU\Software\Microsoft|bk (Malware.Trace) -> Параметры:
-> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Параметры: USER-_002A4D0A -> Действие не было предпринято.
Обнаруженные папки: 8
C:\Documents and Settings\LocalService\Application Data\wsnpoem (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\Microsoft Common (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec (Stolen.data) -> Действие не было предпринято.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Application Data\Target Marketing Agency\TMAgent\update (Adware.TMAagent) -> Действие не было предпринято.
Обнаруженные файлы: 17
C:\WINDOWS\system32\1617b44M.exe.a_a (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\pb1M3aNy.exe.a_a (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Действие не было предпринято.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\updateInfo.xml (Adware.TMAagent) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Опера вроде пока не падает. Мозилла падает даже полностью переустановленная (без довесков в виде закладок и сохраненных паролей падает, с ними, впрочем, - тоже падает)
UPD: и Опера тоже падает.
- - - Добавлено - - -
Три раза подряд упал Windows. Высветилось синее окно.
Техническая информация:
STOP:
0 х 00000024
0 х 001902FE
0 x B87D77AC
0 x B87D74A8
0 x F6DAFE43
ati2mtag.sys - Adress F54EAAFF base at F54D2000 Date Stamp
В Безопасном режиме зашёл, но через некоторое время вылетел и автоматический стал перезагружаться. Загрузился в обычном режиме.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: