-
Junior Member
- Вес репутации
- 51
Проблемы с Internet Explorer и антивирусами,
При запуске IE появляется объявление об ошибке; отключился и не запускается антивирус Eset Nod 32; AVZ также не запускается. Dr. Web CureIt в безопасном режиме ничего не находит.
Получить логи AVZ удалось при выключенном процессе explorer.exe через диспетчер задач. Выйти в Интернет можно, при ручном наборе адреса в проводнике. Помогите, пожалуйста
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите в hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\309b2b01.exe,C:\WINDOWS\system32\jevcfa.exe,
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\jevcfa.exe','');
QuarantineFile('C:\WINDOWS\system32\etrjl.bmp','');
QuarantineFile('C:\WINDOWS\system32\309b2b01.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winupd32.exe','');
DeleteService('esihdrv');
QuarantineFile('C:\WINDOWS\system32\DYPTY8Q6P5\P001.exe','');
DeleteService('Description');
DeleteFile('C:\WINDOWS\system32\DYPTY8Q6P5\P001.exe');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winupd32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Remote Security Services');
DeleteFile('C:\WINDOWS\system32\309b2b01.exe');
DeleteFile('C:\WINDOWS\system32\etrjl.bmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\jevcfa.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(20);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 51
IE заработал, AVZ тоже, антивирус похоже удалился.
Не совсем поняла, что значит "профиксить (не технарь совершенно) - просканировала, выбрала строчку, которую дали, и нажала кнопку Fix checked - правильно?
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
TerminateProcessByName('d:\program files\common\offman.exe');
TerminateProcessByName('d:\program files\common\dict.exe');
QuarantineFile('d:\program files\common\dict.exe','');
QuarantineFile('d:\program files\common\offman.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте лог GMER
-
-
Junior Member
- Вес репутации
- 51
Карантин закачала, лог сделать не получается, после запуска программы, компьютер идет на перезагрузку, если использовать запуск от имени текущего пользователя (administrator), то появляется масса объявлений об отказе к доступу, и программа открывается с массой не активных кнопок. Попробовала использовать учетную запись указанного пользователя, но там ругаются на отсутствие пароля, а его вообще, кажется, не было. Как быть??
-
-
-
Junior Member
- Вес репутации
- 51
Во время работы ComboFix компьютер два раза перезагрузился, текстовый файл не нашла, где он должен быть??
-
-
-
Junior Member
- Вес репутации
- 51
нету
-
-
-
Junior Member
- Вес репутации
- 51
пишет, что ничего не нашел
-
Ясно. В таком случае запустите ещё раз combofix
-
-
Junior Member
- Вес репутации
- 51
Начинает сканировать, потом говорит, что определил присутствие деятельности руткита и нужна перезагрузка (вроде так переводится), перезагружается, сканирует зараженные файлы доходит до 50 стадии и вылетает через синий экран, что там написано, не успеваю прочитать, загружается уже по-обычному.
Лога нет
-
Пробуйте в безопасном режиме
Последний раз редактировалось thyrex; 30.09.2010 в 00:13.
Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
В безопасном режиме, вроде до конца дошел,
похожий лог из папки CombFix, он?
Во время проверки неожиданно вылез, год назад отключенный брандмауэр, это так задуманно?
-
Junior Member
- Вес репутации
- 51
а сегодня при включении выдает, что для защиты компа программа Generic Host Services, была закрыта.. ну и потом парочка отчетов, все подвисает, интернет отключается
-
Смените все пароли
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
C:\Program Files\Common Files\jqyrg4inedzz13m
Driver::
xmnsj
ulmbjfcxu
Crxdumvpm
NetSvc::
xmnsj
ulmbjfcxu
Folder::
C:\Program Files\Common Files\2c6bd9
C:\Program Files\Common Files\2c6b30
C:\Program Files\Common Files\2c6bd9(2)
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
опять только в безопасном режиме, под конец вылетел, но лог сделать успел
После вклчючения стала опять вылезать ошибка (после первого скрипта и до ComboFix ее не было):
«svchost.exe ошибка приложения ..инструкция по адресу… обратилась к памяти ..память не может быть written»
через несколько минут перестают открываться страницы.
И по ходу языковая панелька пропала
Последний раз редактировалось matlik; 30.09.2010 в 22:50.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
C:\Documents and Settings\Administrator\Application Data\drm\drm.exe
Driver::
jfgbga
NetSvc::
jfgbga
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4029:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Пока не обновитесь, от Кидо не избавитесь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
ошибка так и будет появляться????