-
Junior Member
- Вес репутации
- 63
Не запускается приложения из под учётной записи с правами администратора
Здравствуйте!
После посещения сайта травме.нет в учётной записи с правами администратора перестали запускаться все приложения – выдаётся ошибка. Например,
при запуске «Блокнота» пишет стандартное сообщение об ошибке «Обнаружена ошибка. Отправить отчёт?».
При запуске остальных приложений пишет окно с текстом «Инструкция по адресу «0х00409с21» обратилась к памяти по адресу «--------------». Память не может быть «read». «ОК» - завершения приложения. «Отмена» - отладка приложения».
Адрес «--------------» при запуске Wordaимеет вид «0х00193000», Excel – «0х00181000», Paint– «0х000de000», Калькулятор – «0х000е0000», Пасьянс Паук – «0х000с2000».
В безопасном режиме из учётной записи «Администратор», с отключенным восстановлением системы, с помощью программы Dr. Web с обновлениями на 24.04.08 23:51 выполнил Полную проверку. Результаты:
C:\Documents and Settings\МОРОЗ\Local Settings\Temporary Internet Files\Content.IE5\KLUBW5YV\travme[1].htm\Script.1 - инфицирован VBS.PackFor
C:\WINDOWS\system32\alrsvce.exe - инфицирован BackDoor.IRC.Tcpip
C:\WINDOWS\System32\drivers\Bhm82.sys - инфицирован Trojan.DownLoader.50037
c:\documents and settings\МОРОЗ\local settings\temp\pre-loader.b22-05.0001.exe инфицирован Trojan.DownLoader.59056
C:\Documents and Settings\МОРОЗ\Local Settings\Temporary Internet Files\Content.IE5\0SHIGNCS\1[3].exe инфицирован Trojan.MulDrop.14788
Удалил все эти файлы.
Перезагрузился в учётную запись «МОРОЗ», которая у меня с правами администратора, и заметил, что если сразу после загрузки системы открыть InternetExplorer, то есть шанс что запустятся и другие приложения. Кстати, таким образом, несколько раз перезагружая систему, мне и удалось собрать эти 3 лога.
В учётной записи с ограниченными правами никаких ошибок не высвечивается.
P.S. ОС – Windows XP Home Edition SP 2
Последний раз редактировалось MihailKrasnodar; 15.08.2008 в 00:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите Антивирус и Интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Bhm82.sys','');
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
DeleteService('TrkWksdmadmin');
DeleteService('Bhm82');
DeleteFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Bhm82.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\msindeo.dll');
DelBHO('{7ACB5731-5839-13AB-EABC-124791194525}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('TrkWksdmadmin ');
BC_DeleteSvc('Bhm82 ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22044
Очистите временные папки,кеш браузера.Повторите логи.
-
-
Junior Member
- Вес репутации
- 63
1. Скрит выполнил.
2. Карантин отправил.
3. Временные папки очистил через опцию Очистка диска в Свойствах диска C. Кэш Internet Explorer удалил через меню Свойста обозревателя.
4. Выкладываю новые логи.
Последний раз редактировалось MihailKrasnodar; 15.08.2008 в 00:26.
-
msindeo.dll-Trojan-Spy.Win32.Goldun.adm
ntos.exe-свежий
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe','');
DeleteService('TrkWksdmadmin');
DeleteFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('TrkWksdmadmin ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22044
Повторите логи.
-
-
С карантином (который virusinfo_cure) поосторожнее, пожалуйста. Хорошо, что пустой, но в следующий раз уже нарушение будем писать.
-
-
Junior Member
- Вес репутации
- 63
Выбрал «Файл» – «Просмотр карантина». Высветилось пустое окно.
Не понял, virusinfo_cure не нужно присылать?
Ещё раз делать логи? А после выполнения скрипта из п. 10 правил где взять файл virusinfo_syscheck.zip В папке \avz4\LOG он не появляется.
-
Если выполнили скрипт,сделайте логи заного
-
-
Junior Member
- Вес репутации
- 63
AVZ логи не создал.
Выкладываю HijackThis.
Последний раз редактировалось MihailKrasnodar; 15.08.2008 в 00:26.
-
-
-
Junior Member
- Вес репутации
- 63
Не знаю. Могу ещё раз просканировать. Нужно?
-
-
-
Junior Member
- Вес репутации
- 63
Блин, я просто запутался в этих AVZ. Сейчас извлёк его в новую папку. Оттуда запускал сканирования. Результаты прилагаю.
Последний раз редактировалось MihailKrasnodar; 15.08.2008 в 00:26.
-
Обновите базы AVZ!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
BC_DeleteSvc('TrkWksdmadmin ');
BC_DeleteFile('C:\DOCUME~1\611B~1\LOCALS~1\Temp\svchost.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Затем:
Пуск > Выполнить; вписать sc delete TrkWksdmadmin нажать ОК.
Повторите лог virusinfo_syscheck.
-
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось MihailKrasnodar; 15.08.2008 в 00:26.
-
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
В логах чисто,жалобы есть?
-
-
Junior Member
- Вес репутации
- 63
Пока нет. Компьютером буду пользоваться завтра, если будут проблемы - напишу. Ещё раз спасибо! С наступающим праздником!
-
Спасибо
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-