Скорее всего сидит какая-то дрянь, т.к. через IE не открываются поисковые системы (yandex, mail, rambler, google, yahoo и т.д.), страницы с адресом типа forum.xxx.xx, www.nanoscan.com, firefox.com и т.д. (знакомый говорит, что у него такая же беда, у него и Опера не открывает эти страницы), вместо страницы открывается окно ошибки "Не удается отобразить страницу" а в заголовке IE пишется "Синтаксическая ошибка". Также полностью заблокирована возможность загружать файлы через IE, выходит окно "Текущая настройка безопасности не допускает загрузку этого файла", хотя все настроено нормально. В зону доверенных узлов добавляются две строчки: *.http://bestforall.wz.cz и http://*.http://bestforall.wz.cz, их удаление приводит к тому, что они снова появляются.
При работе с FireFox таких проблем не возникает.
Проверка Каспером и CureIt ничего не дала.

Выполните (http://virusinfo.info/showthread.php?t=7239) скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll','');
RebootWindows(false);
end.
После перезагрузки "пофиксите" (http://www.virusinfo.info/showthread.php?t=4491) в HijackThis
O1 - Hosts: 194.67.34.141 l2authd.lineage2.com l2testauthd.lineage2.com
O15 - Trusted Zone: *.http://bestforall.wz.cz
O15 - Trusted Zone: http://*.http://bestforall.wz.cz
O15 - Trusted Zone: *.opera.com
O15 - Trusted Zone: http://*.opera.com
Пришлите файлы карантина по правилам раздела "Помогите".

Отправлять нечего, т.к. когда я самостоятельно пытался бороться с этой напастью, то удалил все из папки plugins IE, поэтому в карантин ничего не добавляется. Через HijackThis пофиксил ключи, но после перезагрузки зоны bestforall опять появились.

@Alex_Tesla
Очистите Темп-Папку IE. http://support.microsoft.com/?scid=kb%3Bru%3B260897&x=14&y=12

Темп-Папку IE очистил, проблема осталась.

Темп-Папку IE очистил, проблема осталась.М.б. Вы понимаете немного чешский язык? ;) http://www.viry.cz/forum/viewtopic.php?p=271602&sid=a869212c487c09e947ef5ec0f496fab8

Спасибо за совет, но я тоже сначала обращался к Гуглу, по этой ссылке предложили поставить заплатку для принудительного обновления списка доверенных узлов, но проблема в корне не решается, в общем там ничего дельного нет, к сожалению...

@Alex_Tesla
Удалите файл index.dat, где собирается информация об всем, что происходило в ИЕ. Это можно сделать в безопасном модусе через логин Администратора или с помощью программы ClearProg (http://clearprog.de/download.php?id=40). После ребута файл должен быть удален.

Очень напоминает этот (http://virusinfo.info/showthread.php?t=9290) случай...
Во время получения логов был запущен IE?

Все сделал, но после ребута ничего не изменилось.

2MaXim, логи делал точно по инструкции. IE вообще не запускал.

Стартовая страница у меня не меняется.

Попробуйте запустить IE и получить логи не выгружая его.

Все сделал, но после ребута ничего не изменилось.
Попробуйте почистить через ClearProg все, что можно и обновите IE до версии 7. Кому-то здесь это даже помогло. Неплохо было бы проверить систему через Spybot Serach & Destroy

"логи делал точно по инструкции. IE вообще не запускал."
А надо запустить IE до выполнения логов ;)
А может експлорер патченный ?
выполните скрипт и пришлите по правилам:


begin
QuarantineFile('C:\Program Files\Internet Explorer\explorer.exe','');
end.

Сейчас сделаю логи с запущенным IE. Спайботом обязательно пройдусь. На счет обновления до IE 7 даже не знаю, хотелось бы найти корень проблемы.

Не хочет эксплорер идти в карантин... пишется "Ошибка карантина файла "C:\Program Files\Internet Explorer\explorer.exe", попытка прямого чтения", хотя свободно копируется в другое место на диске


За логи с не запущенным IE посыпаю голову пеплом.

"C:\Program Files\Internet Explorer\explorer.exe"

Вообще-то по данному адресу проживает iexplore.exe, а explorer.exe - в C:\Windows, разве не так?

Совершенно верно! Все, видимо у меня совсем туман в голове от борьбы с этой напастью...

Соответствующий вопрос: iexplore.exe высылать?

на всякий случай обоих в зипе и обязательно с паролем virus ,( один браузер , другой проводник )

Прислал ie_end_expl.zip

Сделал логи с запущенным IE

Сделал логи с запущенным IE
я не обнаружил в логах никаких признаков заражения.
Когда Вы последний раз патчили систему?

вы про критические обновления от Майкрософт? с момента установки SP2 ничего больше не ставил... видимо в этом все дело?

Сейчас звонил знакомый, в его организации 4 машины с такими же симптомами один в один.

с момента установки SP2 ничего больше не ставил... видимо в этом все дело?С большой степенью вероятности - да. Может статься, что сразу после удаления зараза снова проникает - через незакрытую уязвимость. Вам не хватает всего примерно 180 заплаток, вышедших с момента выпуска СП2.

ок, завтра поставлю, сообщу результат

вы про критические обновления от Майкрософт? с момента установки SP2 ничего больше не ставил... видимо в этом все дело?

Сейчас звонил знакомый, в его организации 4 машины с такими же симптомами один в один.
Это может быть причиной, но явно видимого зверя в процессах/библиотекая не видно, в том то и загвоздка. Я советую:
1. Выполнит команды ping www.yandex.ru и ping www.google.com, и прислать нам полученные логи (в принципе логи не очень нужны - достаточно IP адресов из них). Логика - если IP правильный, то не DNS не грешим, если кривой - то будем искать причину
2. Следует попробовать поискать в реестре фрагменты тех URL, которые открываются вместо поисковиков. Может, найдется что интересное
3. Следует проверить настройки соединения с Инет, в особенности - DNS. Для этого удобно выполнить команду
ipconfig /all > ipsetup.txt - я советую приаттачить сюда такой лог с пораженной машины, попробуем поискать аномалии
4. Как реализован выход в Инет ? (прямое соединение, прокси ...) ?

Я просто констатитую ститистику - последнее время все чаще попадаются зловреды, которые шалят с DNS - прописываю свой сервер вместо нормального или подменяют запросы

1. Обмен пакетами с yandex.ru [213.180.204.11] по 32 байт
Обмен пакетами с google.com [64.233.187.99] по 32 байт
2. В том-то и дело, что вместо поисковиков открывается стандартная страничка 404. Хотя обмен с инетом происходит. Через FireFox все нормально, все странички открываются.
3. По ipconfig увидел помимо родного левый DNS 193.91.69.226
4. В инет хожу dial-up-ом, через NAT, все получаю от DHCP

Уточнение, если пытаюсь удалять строчки зон доверенных узлов в безопасном режиме, они тут же появляются обратно в этом же безопасном режиме.

3. По ipconfig увидел помимо родного левый DNS 193.91.69.226

это что-то венгерское

inetnum: 193.91.64.0 - 193.91.95.255
org: ORG-EN3-RIPE
admin-c: ENA8-RIPE
netname: HU-ELENDER-980122
descr: Euroweb Internet Service Provider Corporation
country: HU
tech-c: ENO7-RIPE
status: ALLOCATED PA "status:" definitions
address: Puskas Tivadar utca 8-10
address: H-2040
address: Budaors
address: Hungary
phone: +36 1 8897000
fax-no: +36 1 8897100
Я лично предпочел бы бокал токайского ;)

Зоны чешские, DNS венгерский, а поисковики не открываются русские.

Принудительно выставил DNS, ipconfig показал, что все ровно, только закавыка осталась в полном объеме.

1. Обмен пакетами с yandex.ru [213.180.204.11] по 32 байт
Обмен пакетами с google.com [64.233.187.99] по 32 байт
2. В том-то и дело, что вместо поисковиков открывается стандартная страничка 404. Хотя обмен с инетом происходит. Через FireFox все нормально, все странички открываются.
3. По ipconfig увидел помимо родного левый DNS 193.91.69.226
4. В инет хожу dial-up-ом, через NAT, все получаю от DHCP

Уточнение, если пытаюсь удалять строчки зон доверенных узлов в безопасном режиме, они тут же появляются обратно в этом же безопасном режиме.
1. IP правильные - значит, проблема не на уровне подмены DNS
2. Это наводит на проблемы где-то на уровне IE, что нам и требовалось доказать
3. Левый DNS конечно нужно прибить - для чистоты опыта. Но ввиду п.п. 1-2 это ничего не изменит
4. Ясно.

В логах аномалии я не вижу ... но похоже, где-то в системе имется троянский код.

Совет: скачать regmon (http://www.sysinternals.com) и посмотреть, что происходит при удалении зон IE в защищенном режиме. Раз настройки восстанавливаются, то есть шанся увидеть, кто их восстанавливает. Аналогичный опыт следует повторить и в обычном режиме.
Далее еще просьба. Нужно:
1. Включить AVZPM
2. Перезагрузиться и сделать сканирование в обчном режиме - кнопка "Пуск" AVZ без всяких настроек. Если в логе в п.п. 1.4 что-то появится, то этот фрагмент лога следует прицепить сюда - для изучения.
3. Запустить IE
4. Вручную запустить исследование. Для этого в открывает п.п. меню "Файл/Исследование системы" AVZ, там переключить настройку для служб и драйверов - включить "Все службы и драйверы" и поставить внизу птичку "Создать zip архив".
Полученный лог слудуетприаттачить сда - нам на анализ.

Далее еще один опыт:
1. Следует закрыть все присложение
2. Запускаем AVZ, Файл/Стандартные скрипты, отметить скрипт номер 1 и нажать выполнить
3. Включаем AVZGuard
4. Из меню AVZGuard запускаем C:\Program Files\Internet Explorer\iexplore.exe как доверенное приложение.
5. Пробуем открыть любой поисковик - интересен результат
6. Отключаем AVZGuard и перезагружаемся

И еще опыт - следует запустить AVZ и выполнить скрипт:


begin
RegSearch('HKLM', '', 'yandex');
RegSearch('HKLM', '', 'google');
RegSearch('HKCU', '', 'yandex');
RegSearch('HKCU', '', 'google');
end.

Если что-то найдется - лог следует приаттачить в виде текстового файла сюда.

Здравствуйте,

explorer.exe_,
IEXPLORE.exe_

Вредоносный код в файлах не обнаружен.

Пожалуйста, при ответе включайте переписку целиком.

--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
e-mail: [email protected]
http://www.kaspersky.com/

http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами.
http://www.kaspersky.com/helpdesk.html - техническая поддержка



> Attachment: 070430_155621_ie_end_expl_4635d965803a4.zip

> VirusInfo Из темы http://virusinfo.info/showthread.php?t=9379 070430_155621_ie_end_expl_4635d965803a4.zip
>
_______________________________________________
Suspected mailing list
[email protected]
http://mail.virusinfo.info/mailman/listinfo/suspected_virusinfo.info
Quick Reply

это становиться уже совсем интересно :)

Ни чего интересного. Я им отправлял патченый IE, у которого была нарушена таблица импорта (это мне позже Олег сказал), так вот они тоже ни чего не нашли, хоть он был патчен :)

1. Скачал и запустил Regmon, следом запустил HijackThis чтобы пофиксить зоны. Просканил, выделил строчки с bestforall, нажал FIX, в Regmon появились записи, что HijackThis пытается обратиться к несуществующим ключам HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\wz.cz . Запустил regedit, и увидел только одну строчку ..\ZoneMap\Domains\bestforall с параметром '*'. Удалил ее вручную. После этого домены в зоне доверенных узлов не появляются. Хотя до этого как я их только не удалял, они все равно появлялись. Видимо это последствия запуска Regmon.

Поисковые так и не запускаются. Причем обнаружил такую вещь: ya.ru - открывается, а yandex.ru - нет. Ходил на наш республиканский сайт ya1.ru, там открывается все, что есть, но forum.ya1.ru - нет. drweb.ru открывается, а forum.drweb.ru - нет.

2. На счет опыта с AVZGuard - проделал все, как сказали, результат такой - запускается IE, ввожу yandex.ru, вылетает окошко "Автономная работа", хотя я подключен к инету. Жму "Подключиться" - как результат, страничка "Не удается отобразить страницу" с тем же заголовком "Синтаксическая ошибка".

3. Логи других опытов в аттаче.

4. Через некоторое время система вылетела в синий экран при попытке выгрузить драйвер ujmymjk3.sys . На винчестере такого файла потом не оказалось, но появился UZMYMJK3.sys, по этому поводу можно не дергаться? это драйвера AVZ?

Можете еще показать сохраненный протокол из AVZ - Сервис - Менеджер расширений IE?

Вот пожалуйста, протокол в аттаче.

Прошел по системе Spybot - Search & Destroy - никаких результатов.

Вот пожалуйста, протокол в аттаче.

Прошел по системе Spybot - Search & Destroy - никаких результатов.
В протоколах все чисто. UZMYMJK3.sys - это драйвер AVZ ...
У меня еще идея есть - нужно проверит "Избранное" у IE, все имеющиеся там папки и ссылки в них. Попадался мне троян, который создавал там записи - он делал следующее: создавал в избранном запись с именем скажем www.yandex.ru. Когда я ввожу URL, IE просматривает избранное и ищет, нет ли совпадений по имени. Если есть - то открывает эту ссылку, а не введенный URL ! Может быть, и тут похожая ситуация ?

Изолировал все "Избранное", к сожалению безрезультатно.


Позвонила знакомая, у нее такая же беда. У нее все тоже самое было в IE и в Opera. Ситуацию с Оперой она решила простой переустановкой свежей Оперы. Что у нее с IE не знаю, завтра расскажет. Нас в городе таких набралось уже 7 человек (это только те, кого я знаю).

А у Вас нет предположений после чего начались такие аномалии? Может заходили на подозрительный сайт, запускали странный файл?

У меня эта ерунда началась после того, как жена посидела в инете. Но она клянется что почтой пользовалась только браузерной, ничего не скачивала. По аське ей никто линков не кидал, я проверил. Что пародоксально, но из тех случаев, что я разузнал, во всех в момент заражения (буду так говорить) за компьютером находилась женщина.

Если будет полезно, то перед этой напастью я удалил с компа зловреда spoolsvv.exe. Знакомый, у которого эта беда на работе, тоже сказал, что удалил у себя такого же перед тем как все началось. Про остальных не знаю, к сожалению. Возможно просто совпадение.

Нас в городе таких набралось уже 7 человек (это только те, кого я знаю).
Может быть это проблема Вашего регионального узла связи?

Можно предположить, что это остаточные явления после зловредов. Есть у меня ещё один вариант... Проверить на руткиты. Маловероятно, но может что-то хитрое попалось. У Вас есть возможность подключить Ваш жесткий диск к другому компьютеру? Или может у Вас есть Acronis True Image?

Может быть это проблема Вашего регионального узла связи?Можно обратиться в саппорт провайдера.

У провайдера все чисто, я с ними тесно работаю, поэтому сразу у них поинтересовался.

Жена вспомнила, что закачивала один файл как раз где-то в 20-х числах. В архиве закинуть его не смогу, т.к. он больше 2 мегабайт, у меня тонкий канал для этого. Могу линк дать.

Дайте линк мне в личку.

К сожалению файл в аттаче письма :( Ладно, оформляю в архив с паролем и кидаю отправкой как положено.

К сожалению файл в аттаче письма :( Ладно, оформляю в архив с паролем и кидаю отправкой как положено.
Кроме того, стоит испробовать еще несколько моментов:
1. AVZ Меню Сервис/Поиск файлов на диске. Там следует отметить папки Program Files и Windows на системном диске, задать маску файла *.exe *.dll *.sys *.ocx (она есть в выпадающем списке), задать дату создания более X (где X - дата появления глюков минус 2-3 дня, предположим 25.04.2007 для определенности), и поставить обе птички "Исключать файлы, известные ...". После этого следует запустить поиск. Если что найдется - лог с результатами сюда. Поиск можно повторить, использовав в ильтре в место даты создания дату модификации.

2. Чем закончился поиск по реестру ?

3. Прицепите поджалуйста лог, сохраненный из менеджера автозапуска AVZ. Может быть, там есть что-то, что опознается как безопасное и не является таковым (возможно, запуск reg.exe с ключами и т.п.)

1. файл La2_skin_n_Sound.zip ушел в аплоад.
2. лог поиска по реестру лежит выше, в аттаче - google_in_reg.txt
3. Лог автозапуска прикрепил.
4. Из поиска файлов заслуживают внимания:
C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUt il.exe
C:\WINDOWS\SoftwareDistribution\Download\7d8b08968 71a2c62ecc1bc97fb2275c7\sp2qfe\ipnat.sys
C:\WINDOWS\SoftwareDistribution\Download\d9524f00e 5f2cc330553e1ab8061888a\update\arpidfix.exe

точная дата появления этой беды у всех кого я знаю начиная с 26.04.2007

C:\WINDOWS\SoftwareDistribution\Download\7d8b08968 71a2c62ecc1bc97fb2275c7\sp2qfe\ipnat.sys
Скажите, а Виндоуз-Файрволл у Вас активирован? Если да - попробуйте его выключить. М.б. кусается он после какого-то апдейта с IDS Каспера?
PS: То, что Ваша супруга скачала, не содержит дряни. Да и файлы, которые у Вас под подозрением по виду и пути нормальные.

Отключил файерволл - безрезультатно :(

Остальные найденные файлы: установка FireFox, ClearProg и Spybot - Search & Destroy. Если и есть какие файлы, то дата у них подправлена либо они "системные и безопасные".

Отключил файерволл - безрезультатно :(

Мдя, ИМХО похоже на какого-то недетектируемого почтового червяка, который через Аутлук Экспресс-Адреса распространяется. Было бы неплохо переустановить систему, т.к. бог его знает, кто сейчас кроме Вас видит ваш ПК, но я бы ешё попробовал установить все недостающие обновления включая ИЕ7 и обновить JavaRE.
Ещё идея: Включите файрволл и просканируйте Ваш ПК на grc.com https://www.grc.com/x/ne.dll?bh0bkyd2 /all service ports

Rene-gad, не надо спешить с перестановкой системы. Это ещё успеется. Нам нужно поймать этого malware, потому что это не единственное обращение по данному вопросу. Таких будет ещё много.

Аутлуком у нас никто не пользуется, учетки в нем не настроены. Тест на grc.com показал первые две клетки синие, остальные зеленые.

Мне очень хочеться разобраться, т.к. не хотелось бы поймать такую дрянь у себя на работе.
Обновления потихоньку качаю, пока никаких результатов.

Поставил на FireFox плугин IE Tab, чтобы открывать странички в фоксе, но через движок IE, такая же ерунда как просто через IE.

Такое, может быть, глупое предположение: а какие шрифты/набор символов используются для отображения страниц в IE? Просто вот здесь - http://support.microsoft.com/kb/217115 описывается очень похожая проблема, правда, только для Win98, но вдруг и здесь что-то похожее?

Набор знаков: кириллица
Шрифт веб-страницы: Times New Roman
Шрифт обычного текста: Courier New

Но проблема точно не в этом.
Вся закавыка в том, что не загружаются поисковые и страницы типа forum.xxxxxxx.xx.
Все остальное загружается нормально. Да, и еще файлы не загружаются ни с каких сайтов.

Вы не ответили на мой вопрос http://virusinfo.info/showpost.php?p=107053&postcount=40

Прошу прощения.
Да, есть возможность посмотреть этот винт из под другой системы. Acronis True Image тоже есть.

Пройтись AVZ из под другой системы?

В AVZ есть ревизор диска. AVZ - Файл - Ревизор. Ставите типы файлов - все файлы, режим создания базы - стандартный. Если у Вас диск разделен на несколько разделов, то сохраните полученную базу на другой раздел или на сменный диск. Потом делаете акронисом образ диска и подключаете его как виртуальный диск и сверяете образ с тем, что есть с помощью ревизора. Если он найдет отличия, отметьте список и нажмите "скопировать в карантин", дальше карантин прислать нам согласно правил. Можно без акрониса просканировать в начале в обычном режиме, а потом сверить загрузившись из другой ОС. Смысл Вы поняли, надеюсь.

А если полностью удалить Касперского? Вопрос не праздный, увы... :(

А если полностью удалить Касперского? Вопрос не праздный, увы... :(А это тут причем?

Касперского поставил после того как все началось.

Сейчас попробую пройтись ревизором.

Тест на grc.com показал первые две клетки синие, остальные зеленые.
При включённом файрволле должны были бы быть все зелёные, т.е. stealth.:? Почему порт 1 и 2 closed - не имею представления. Вообще то это порты, как троянские, нигде не описаны, да и статус closed можно рассматривать, как безопасный. Но всё-таки интересно.

2 Max: у нас на форуме пара точь-в-точь таких кейсов. Есть Каспер - есть проблема. Нет его - нет проблемы..

Касперского поставил после того как все началось.

Сейчас попробую пройтись ревизором.Ну что, получилось?

Я не знаю всех тонкостей на счет портов, знаю только то, что между мной и инетом: коммутатор, NAT и Cisco (работал программистом у провайдера).

Результаты проверки ревизором по-моему отрицательные. Вроде ничего путного не обнаружено. Лог в аттаче.

Снес каспера, проблема осталась.

Завтра иду еще к одному потерпевшему. Посмотрю что у него да как, может узнаю как он подцепил это.

Еще одно замечание: Виндовая справка запускается с ошибкой "Ошибка сценария Internet Explorer", единственная загвоздка, не знаю, это следствие чего-то злобного или просто глюки. Сроду ей не пользовался.

Еще одно замечание: Виндовая справка запускается с ошибкой "Ошибка сценария Internet Explorer"
Что-то в этом роде? http://support.microsoft.com/kb/308260/ru

Похоже конечно, но не думаю что это то что надо. У меня ругается на XML объекты. Может из-за того, что еще не все обновления закачал.

Похоже конечно, но не думаю что это то что надо.
Я тоже не уверен :). ИЕ7 установили?

Сегодня докачается, завтра поставлю.

После всех апдейтов нормально заработала справка.

После установки IE 7 все проблемы с незагрузкой страниц и файлов пропали.

Вобщем все работает, всем спасибо. Жаль, что так и не понял из-за чего это все, ну да ладно.

После всех апдейтов нормально заработала справка....После установки IE 7 все проблемы с незагрузкой страниц и файлов пропали..Жаль, что так и не понял из-за чего это все
Так понятно же из-за чего : http://virusinfo.info/showpost.php?p=106943&postcount=23 :D

Полное обновление ничего не дало. Проблемы исчезли только после установки IE 7.

Полное обновление ничего не дало.
Понятие Полное обновление включает в себя в первую очередь обновления и заплатки для ИЕ, как главной проблемы безопасности Виндоуз ;).

Я специально поставил IE 7 в последнюю очередь. До этого поставил все заплатки на IE 6, на Outlook Express и на Multimedia Player, плюс, естественно, все обновления самой ВинХП. Результат был нулевой.

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 3
В ходе лечения вредоносные программы в карантинах не обнаружены