Проблемы с Iexplore.exe. Система виснет. Процесс маскируется.
Маскировка процесса Iexplore.exe
Проблемы с Iexplore.exe. Система виснет. Процесс маскируется.
Последний раз редактировалось Геннадий; 17.10.2007 в 22:52.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сочувствую.
Если вы хотите, чтобы вам не только посочувствовали, но и помогли,нужно выполнить правила (http://virusinfo.info/showthread.php?t=1235) и прислать 3 лога.
Похоже процесс продолжается. Хотя и не так шустро.
Первый раз вложения не дошли. Может я еще чего не сделал? Был бы признателен за совет.
Пофиксите с помощью Hijackthis строчки:Затем, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,C:\WINNT\system32\ntos.exe, O2 - BHO: (no name) - {AF461491-BA7E-41A7-9E75-4F3A70CFCED2} - C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINNT\AUTOLO~1\AL2DLL.dll O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe O4 - HKCU\..\Run: [userinit] C:\WINNT\system32\ntos.exe O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINNT\system32\ntos.exe (User 'Default user') O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm O9 - Extra button: (no name) - DctMapping - (no file)Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13304 , как написано в прил.3 правил, и сделайте новые логи, начиная с п.10 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('K:\Webservers\etc\utils\Boot.exe',''); QuarantineFile('C:\WINNT\AUTOLO~1\AL2DLL.dll',''); QuarantineFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll',''); QuarantineFile('C:\WINNT\system32\ntos.exe',''); QuarantineFile('C:\WINNT\all.exe',''); QuarantineFile('C:\WINNT\Temp\startdrv.exe',''); QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys',''); QuarantineFile('\??\C:\WINNT\System32\drivers\runtime.sys',''); BC_DeleteFile('\??\C:\WINNT\System32\drivers\runtime.sys'); BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINNT\Temp\startdrv.exe'); // BC_DeleteFile('C:\WINNT\all.exe'); DeleteFile('C:\WINNT\system32\ntos.exe'); BC_DeleteFile('C:\WINNT\system32\ntos.exe'); DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll'); BC_DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll'); // DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll'); // BC_DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll'); BC_deleteSVC('runtime'); BC_deleteSVC('runtime2'); BC_ImportQuarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
"Пофиксите" это как понять. Извините, не понял.
Остальное сделаю сегодня ночью.
Пардон, увидел ссылку!
Добавлено через 9 часов 18 минут
Файлы из карантина закачал. Логи сейчас делаю. Их тоже закачать или будет сказано доплнительно?
Последний раз редактировалось Геннадий; 18.10.2007 в 18:58. Причина: Добавлено
Логи закачивай.
Добавлено через 8 минут
C:\WINNT\system32\ntos.exe - Trojan.Inject.436(Др.Веб), Trojan-PSW.Win32.Zbot.n (Касперский)
а второй Trojan.Pandex по Симантеку.
Время менять пароли везде и всюду.
Последний раз редактировалось PavelA; 18.10.2007 в 19:21. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
После 10 пункта у меня 2 лога. Ничего
Странно, но некоторые выжили.
Выполнить в Safe Mode:
Затем снова сделать логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteFile('C:\WINNT\Temp\startdrv.exe'); DeleteFile('C:\WINNT\all.exe'); DeleteFile('C:\WINNT\system32\ntos.exe'); BC_DeleteFile('C:\WINNT\system32\ntos.exe'); DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll'); BC_DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll'); // DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll'); // BC_DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll'); // т.к. Доктор Веб снесен BC_DeleteSvc('spidernt'); BC_ImportQuarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Антивирусником удалил 15 троянов. Ещё значит остались.
Логи после скрипта из №8?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В безопасном режиме архивного файла не создал или под той же датой что была до этого. Два раза запускал скрипт. Процесса зловредного фаервол не ощущает.
Никто гикуда не просится. Неужели...?
Лог отправлен один.
К сожалению я мало что здесь понимаю, но чувствую происходит что-то важное...
пофиксите ...
нужны новые логи AVZ как в первом вашем сообщенииКод:O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINNT\system32\msindeo.dll (file missing) O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
Логи получать в обычном режиме, незащищенном?
Закачиваю логи послепоследнего фиксинга.
похоже что все чисто , НР у вас есть ? если нет поищите orderreminder.exe через поис AVZ
HP это что? Не принтер же наверно...
Указанный файл сейчас поищу.
Добавлено через 13 минут
OrderReminder.exe есть, дата создания 18.11.2006 .
AVZ спрашивает копировать в карантин или удалить?
Что делать?
Последний раз редактировалось Геннадий; 19.10.2007 в 20:39. Причина: Добавлено
карантинить ,и отправить по ссылке над темой....
Принтер НР есть. Не догнал сразу...
Уважаемый(ая) Геннадий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
