Не запускается приложения из под учётной записи с правами администратора

[MihailKrasnodar]

Здравствуйте!
После посещения сайта травме.нет в учётной записи с правами администратора перестали запускаться все приложения – выдаётся ошибка. Например,
при запуске «Блокнота» пишет стандартное сообщение об ошибке «Обнаружена ошибка. Отправить отчёт?».
При запуске остальных приложений пишет окно с текстом «Инструкция по адресу «0х00409с21» обратилась к памяти по адресу «--------------». Память не может быть «read». «ОК» - завершения приложения. «Отмена» - отладка приложения».
Адрес «--------------» при запуске Wordaимеет вид «0х00193000», Excel – «0х00181000», Paint– «0х000de000», Калькулятор – «0х000е0000», Пасьянс Паук – «0х000с2000».
В безопасном режиме из учётной записи «Администратор», с отключенным восстановлением системы, с помощью программы Dr. Web с обновлениями на 24.04.08 23:51 выполнил Полную проверку. Результаты:
C:\Documents and Settings\МОРОЗ\Local Settings\Temporary Internet Files\Content.IE5\KLUBW5YV\travme[1].htm\Script.1 - инфицирован VBS.PackFor
C:\WINDOWS\system32\alrsvce.exe - инфицирован BackDoor.IRC.Tcpip
C:\WINDOWS\System32\drivers\Bhm82.sys - инфицирован Trojan.DownLoader.50037
c:\documents and settings\МОРОЗ\local settings\temp\pre-loader.b22-05.0001.exe инфицирован Trojan.DownLoader.59056
C:\Documents and Settings\МОРОЗ\Local Settings\Temporary Internet Files\Content.IE5\0SHIGNCS\1[3].exe инфицирован Trojan.MulDrop.14788
Удалил все эти файлы.
Перезагрузился в учётную запись «МОРОЗ», которая у меня с правами администратора, и заметил, что если сразу после загрузки системы открыть InternetExplorer, то есть шанс что запустятся и другие приложения. Кстати, таким образом, несколько раз перезагружая систему, мне и удалось собрать эти 3 лога.
В учётной записи с ограниченными правами никаких ошибок не высвечивается.
P.S. ОС – Windows XP Home Edition SP 2

[Гриша]

Отключите Антивирус и Интернет!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Bhm82.sys','');
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
DeleteService('TrkWksdmadmin');
DeleteService('Bhm82');
DeleteFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Bhm82.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\msindeo.dll');
DelBHO('{7ACB5731-5839-13AB-EABC-124791194525}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('TrkWksdmadmin ');
BC_DeleteSvc('Bhm82 ');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22044

Очистите временные папки,кеш браузера.Повторите логи.

[MihailKrasnodar]

1. Скрит выполнил.
2. Карантин отправил.
3. Временные папки очистил через опцию Очистка диска в Свойствах диска C. Кэш Internet Explorer удалил через меню Свойста обозревателя.
4. Выкладываю новые логи.

[Гриша]

msindeo.dll-Trojan-Spy.Win32.Goldun.adm
ntos.exe-свежий

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe','');
DeleteService('TrkWksdmadmin');    
DeleteFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('TrkWksdmadmin ');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22044

Повторите логи.

[pig]

С карантином (который virusinfo_cure) поосторожнее, пожалуйста. Хорошо, что пустой, но в следующий раз уже нарушение будем писать.

[MihailKrasnodar]

Выбрал «Файл» – «Просмотр карантина». Высветилось пустое окно.
Не понял, virusinfo_cure не нужно присылать?
Ещё раз делать логи? А после выполнения скрипта из п. 10 правил где взять файл virusinfo_syscheck.zip В папке \avz4\LOG он не появляется.

[Гриша]

Если выполнили скрипт,сделайте логи заного

[MihailKrasnodar]

AVZ логи не создал.
Выкладываю HijackThis.

[Гриша]

Как так не создал?

[MihailKrasnodar]

Не знаю. Могу ещё раз просканировать. Нужно?

[Гриша]

Нужно,без этого ни как.

[MihailKrasnodar]

Блин, я просто запутался в этих AVZ. Сейчас извлёк его в новую папку. Оттуда запускал сканирования. Результаты прилагаю.

[Гриша]

Обновите базы AVZ!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
BC_DeleteSvc('TrkWksdmadmin ');
BC_DeleteFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Затем:

Пуск > Выполнить; вписать sc delete TrkWksdmadmin нажать ОК.

Повторите лог virusinfo_syscheck.

[MihailKrasnodar]

Выполнил.

[Гриша]

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

В логах чисто,жалобы есть?

[MihailKrasnodar]

Пока нет. Компьютером буду пользоваться завтра, если будут проблемы - напишу. Ещё раз спасибо! С наступающим праздником!

[Гриша]

Спасибо

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".