После загрузки пк появляется сообщение о ошибке експлорер.ехе

Printable View

09.10.2011, 04:55
andreas_01

Вложений: 3

После загрузки пк появляется сообщение о ошибке експлорер.ехе

После закрытия сообщения об ошибки експлорера появляется сообщение об ошибке дрватсон но не всегда.Проблемы с выходом в сеть ,ну и в общем наблюдается некоторая тормознутость.
09.10.2011, 04:56
Info_bot

Уважаемый(ая) [B]andreas_01[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.10.2011, 07:10
Nikkollo

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\25.exe','');
QuarantineFile('C:\WINDOWS\system32\22.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\10.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cis2E.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\10.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\22.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\WINDOWS\system32\81.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
09.10.2011, 08:27
andreas_01

Вложений: 1

Вирус явно продолжает присутствовать

всё сделал как вы сказали,но в диспетчере задач иногда появляются 2 процеса с названием ххх причём оно иногда меняется на какоето другое на 1 секунду потом обратно становится ххх . авира премиум время от времени отлавливает какието дропперы и трояны
09.10.2011, 09:46
Nikkollo

В указанной последовательности:

Установите все обновления безопасности, вышедшие после Service Pack 3:
[url]http://windowsupdate.microsoft.com/[/url]
Обновите Internet Explorer до актуальной версии (даже если не используете):
[url]http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie[/url]

Выполните скрипт в AVZ отсюда:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] и убедитесь, что обновления установились.

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\jodrive32.exe');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ctfmon.exe');
TerminateProcessByName('c:\windows\system32\ac32.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\35.tmp');
TerminateProcessByName('c:\documents and settings\admin\application data\34.tmp');
QuarantineFile('C:\WINDOWS\system32\68.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ winfixer c a r d .cmd','');
QuarantineFile('C:\WINDOWS\system32\ac32.exe','');
QuarantineFile('C:\WINDOWS\system32\frapsvid.dll','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('c:\windows\rthdcpl.exe','');
QuarantineFile('c:\windows\system32\pnkbstrb.exe','');
QuarantineFile('d:\program files\networx\networx.exe','');
QuarantineFile('c:\windows\jodrive32.exe','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\ctfmon.exe','');
QuarantineFile('c:\windows\system32\ac32.exe','');
QuarantineFile('c:\documents and settings\admin\application data\35.tmp','');
QuarantineFile('c:\documents and settings\admin\application data\34.tmp','');
DeleteFile('c:\documents and settings\admin\application data\34.tmp');
DeleteFile('c:\documents and settings\admin\application data\35.tmp');
DeleteFile('c:\windows\system32\ac32.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\ctfmon.exe');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
DeleteFile('C:\WINDOWS\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ac32');
DeleteFile('C:\WINDOWS\system32\ac32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ winfixer c a r d .cmd');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
09.10.2011, 23:05
andreas_01

Вложений: 1

Карантин загрузил

Выполнил все обновления кроме квиктайм плеера.выполнил скрипт который вы дали.иногда в левом углу монитора на долю секунды появляется чёрное окошко вроде как косоль(или как там её)))
10.10.2011, 16:12
миднайт

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\87.exe','');
QuarantineFile('C:\WINDOWS\system32\58.exe','');
QuarantineFile('C:\WINDOWS\system32\52.exe','');
QuarantineFile('C:\WINDOWS\system32\47.exe','');
QuarantineFile('C:\WINDOWS\system32\40.exe','');
QuarantineFile('C:\WINDOWS\system32\13.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\58.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

Повторите лог virusinfo_syscure.zip‎
+ Сделайте лог полного сканирования [b][url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url][/b]
10.10.2011, 23:06
andreas_01

Вложений: 2

Выполнил всё что вы сказали

Эта зараза помоему из интернета подкачивается.Когда сканил MBAM отключал авиру и после сканирования забыл включить так вот после того как вышел в сеть появился процес ххх (время от времени меняет название на BrouseIT (не точное название,просто не успел запомнить))и он чтото помоему качал из сети.
11.10.2011, 09:24
Nikkollo

Обновления все установили?

Удалите в МВАМ:
[CODE]
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> No action taken.

Зараженные папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\8f5ca6221d4cfe7b5b9bb8d984cc7381bd6f68b\acdseeqv10.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\4R96U730\325340703[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\WW212ODA\325340703[1].gif (Extension.Mismatch) -> No action taken.

c:\WINDOWS\system32\iehv.exe (PUP.HistoryTool) -> No action taken.
c:\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS\system32\Drive(C)\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\8f5ca6221d4cfe7b5b9bb8d984cc7381bd6f68b\acdseeqv10.exe (Trojan.Backdoor) -> No action taken.

c:\WINDOWS\system32\Drive(C)\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> No action taken.
c:\WINDOWS\system32\Drive(C)\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS\system32\Drive(C)\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.

c:\documents and settings\Admin\application data\3B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\43.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\ndo32.exe (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Worm.AutoRun.Gen) -> No action taken.
[/CODE]

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Pbrpre.exe','');
QuarantineFile('Rstpmnswb.sys','');
QuarantineFile('gusvc.sys','');
BC_DeleteSvc('gusvc');
BC_DeleteSvc('Rstpmnswb');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Pbrpre.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pbrpre');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Сделайте заново лог МВАМ и приложите в теме.
11.10.2011, 23:58
andreas_01

Вложений: 2

Да обновления все сделаны

Карантин загрузил.Скрипты выполнил,логи прилагаю.Спасибо вам огромное за то что возитесь с такими как я)))
А можно узнать как хоть называется зараза живущая в моём компе?
12.10.2011, 00:57
миднайт

Удалите в mbam

[CODE]Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Config Setup (Trojan.Agent.MSGen) -> Value: Microsoft Config Setup -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.[/CODE]

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\WINDOWS\system32\drivers\str.sys', 'MBAM: Rootkit.Agent');
DeleteFile('c:\WINDOWS\system32\drivers\str.sys');
ExecuteWizard('SCU',2,2,true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.

----
[B]c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe, C:\WINDOWS\system32\03.exe,... [/B] - [B][COLOR="#FF0000"]Backdoor.Win32.Floder.efk[/COLOR][/B]

[B]c:\documents and settings\admin\application data\35.tmp [/B]- [B][COLOR="#FF0000"]Trojan.Win32.Jorik.Tedroo.ba[/COLOR][/B]

[B]c:\docume~1\admin\locals~1\temp\ctfmon.exe[/B] - [B][COLOR="#FF0000"]Trojan-Ransom.Win32.PornoAsset.bkk[/COLOR][/B]

[B]C:\Documents and Settings\Admin\Application Data\Pbrpre.exe [/B]- [B][COLOR="#FF0000"]Backdoor.Win32.Floder.egf[/COLOR][/B]
13.10.2011, 23:24
andreas_01

Вложений: 2

Кажется всё хорошо))

единственное что сделал не так ,это вот это дело c:\WINDOWS\system32\drivers\str.sys удалил в mbam (решил блин с умничать, а потом увидел что эта операция внесена в скрипт AVZ).Установил COMODO Firewall приложение систем просится в сеть пускать его или не надо?
14.10.2011, 05:30
Nikkollo

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ctfmon.exe');
BC_DeleteSvc('hlujiwujvexgnei');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
14.10.2011, 17:59
andreas_01

Вложений: 1

Всё сделал как вы сказали
15.10.2011, 05:25
Nikkollo

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SetAVZPMStatus(false);
end.
[/CODE]

Больше подозрительного не увидел. Что с проблемой?
15.10.2011, 09:36
andreas_01

Скрипт выполнил.Помоему всё удачненько)проблем в данный момент не наблюдается.Обязательно выполню все рекомендации по безопасности .Спасибо Вам огромное!!!Сам бы я не справился.
16.10.2011, 09:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]77[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\pbrpre.exe - [B]Backdoor.Win32.Floder.egf[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )[*] c:\\documents and settings\\admin\\application data\\35.tmp - [B]Trojan.Win32.Jorik.Tedroo.ba[/B] ( DrWEB: Win32.HLLW.Autoruner.61996, BitDefender: Trojan.Generic.6732407, NOD32: Win32/SpamTool.Tedroo.AT trojan, AVAST4: Win32:Zbot-NOO [Trj] )[*] c:\\docume~1\\admin\\locals~1\\temp\\ctfmon.exe - [B]Trojan-Ransom.Win32.PornoAsset.bkk[/B] ( DrWEB: Trojan.DownLoader5.2577, BitDefender: Trojan.Generic.6731854, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ winfixer c a r d .cmd - [B]Backdoor.Win32.Floder.egf[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - [B]Backdoor.Win32.Floder.efk[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )[*] c:\\windows\\system32\\03.exe - [B]Backdoor.Win32.Floder.egf[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )[*] c:\\windows\\system32\\04.exe - [B]Backdoor.Win32.Floder.efk[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )[*] c:\\windows\\system32\\10.exe - [B]Backdoor.Win32.Floder.efk[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )[*] c:\\windows\\system32\\16.exe - [B]Backdoor.Win32.Floder.efk[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )[*] c:\\windows\\system32\\21.exe - [B]Backdoor.Win32.Floder.efk[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )[*] c:\\windows\\system32\\22.exe - [B]Backdoor.Win32.Floder.efk[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )[*] c:\\windows\\system32\\25.exe - [B]Backdoor.Win32.Floder.efk[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )[/LIST][/LIST]