-
Junior Member
- Вес репутации
- 53
Internet Explorer постоянно выдаёт ошибку...
Добрый вечер! Мне нужна Ваша помощь, я уже всё попробовал, ничего не помогает…
Ситуация следующая. Рабочий компьютер. Две учётные записи.
1. Администраторская ( без пароля)
2. Пользовательская (с правами администратора, с паролем)
Пользовались только пользовательской учёткой. На днях, при загрузке windows
Начала выплывать ошибка internet explorer с жалобами на файл user32.dll
Причём, если зайти на учётную запись Администратора, всё нормально работает…
На компьютере установлен антивирус Kaspersky 2010 в его логах я ничего не нашёл.
Просканировал систему Dr.Web Cureit в усиленном режиме нашёл пару троянов
Worm:Win32/Conficker.B!inf
Это не помогло, Загрузился с диска Live cd и просканировал систему AVZ
Ничего не нашёл, ругался только на изменение расширений exe, и ещё какой-то
Думал просканировать учётную запись Пользователя из учётной записи Администратора, но из-за пароля не получалось этого сделать. Я убрал пароль с Пользовательской учёки,
И это не дало мне возможности заходить на неё из Админской учётки…
А спустя ещё некоторое время, эта ошибка начала появляться и на Админской учётке…
Иногда выскакивает ошибка не на user32.dll а на drwsn32.exe.
Да… Забыл сказать, Windows на компе стоит XP изначально с SP2, я попробовал установить SP3 + последние обновления на SP3, и это ничего не изменило …
Комп завтра должен работать, у меня вариантов больше не осталось. Все выходные убил на этот комп.
Помогите пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксите:
Код:
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Еще надо сделать лог Гмером.
Сообщения набирайте на сайте а не в редакторах. У нас не приветствуется украшательство.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Вот логи Gmar. Не смог просканировать ВСЕ файлы, компьютер зависает...
Пришлось из скана убрать последний пункт "Files"
Пробую просканировать отдельно...
-
Этого лога Гмера достаточно. Станд скрипт №2 повторите в AVZ. Какую флешку вставляли с ней надо лог сделать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
-
Сообщение от
gaydukevich
Просканировал систему Dr.Web Cureit в усиленном режиме нашёл пару троянов
Worm:Win32/Conficker.B!inf
Он так не ругается.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Владелец\Рабочий стол\AMMYY_Admin.exe','');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\amdfwdayk');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\eooobvi\amdfwdayk');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\amdfwdayk');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\xvovaecu');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\xvovaecu\Parameters');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xvovaecu');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\amdfwdayk');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\eooobvi\amdfwdayk');
RegKeyDel('HKLM','SYSTEM\ControlSet001\Services\amdfwdayk');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\xvovaecu');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\xvovaecu\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet001\Services\xvovaecu');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
-
-
Junior Member
- Вес репутации
- 53
Ошибка осталась
Добавлено через 5 минут
Могу прислать отчёт об ошибках в txt файле, это может помочь?
Последний раз редактировалось gaydukevich; 05.07.2010 в 13:01.
Причина: Добавлено
-
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Сообщение от
gaydukevich
при загрузке windows
Начала выплывать ошибка internet explorer с жалобами на файл user32.dll
IE при включении компьютера сам запускается? Какой сайт открывается при этом?
-
-
Junior Member
- Вес репутации
- 53
Уязвимостей по логам больше нету. Ошибка так и выскакивает...
-
Junior Member
- Вес репутации
- 53
Прошу прощения!!! В попыхах не так написал...
Не Internet Explorer
А Explorer.exe
Первая ошибка на файл user32.dll если нажать "не отправлять"
вылетает вторая на drwsn32.exe, если ещё раз нажать "не отправлять" комп подвисает.
Но выключить штатным способом его можно.
При выключении пытается закрыть принудительно SSMMgr.exe ...
-
В логах плохого не видно. Можно попробовать сделать лог МБАМ, как его делать смотрите в "Чаво".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Пол дня сканировал %-)
Вот логи от mbam
-
Вот это все можно удалить:
Код:
Зараженные папки:
C:\Documents and Settings\Владелец\Local Settings\Temp\E_4 (Worm.AutoRun) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Владелец\DoctorWeb\Quarantine\cmdow.exe (Malware.Tool) -> No action taken.
C:\Documents and Settings\Владелец\Local Settings\Temp\E_4\dp1.fne (Worm.Autorun) -> No action taken.
C:\Documents and Settings\Владелец\Local Settings\Temp\E_4\internet.fne (HackTool.Patcher) -> No action taken.
C:\System Volume Information\_restore{50E666BA-DE1F-4985-AFC9-C0AC734F142B}\RP111\A0005021.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{50E666BA-DE1F-4985-AFC9-C0AC734F142B}\RP114\A0005227.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{50E666BA-DE1F-4985-AFC9-C0AC734F142B}\RP237\A0009349.exe (Malware.Tool) -> No action taken.
C:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
C:\Documents and Settings\Владелец\Local Settings\Temp\E_4\com.run (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\Владелец\Local Settings\Temp\E_4\eAPI.fne (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\Владелец\Local Settings\Temp\E_4\krnln.fnr (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\Владелец\Local Settings\Temp\E_4\RegEx.fnr (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\Владелец\Local Settings\Temp\E_4\shell.fne (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\Владелец\Local Settings\Temp\E_4\spec.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Удалил всё, кроме этого -
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
Это не нашёл...
Ошибка так и осталась...
Выдаёт отчёт прикрепленый ниже...
Я вас очень прошу, мне никак нельзя сносить систему с этого компа!!!!
-
Найдите диск с интегрированным SP3 и переустановите Windows в режиме восстановления: http://support.microsoft.com/kb/315341/ru (Способ 2).
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-