Printable View
Здравствуйте специалисты! Помогите, плиз, "чайнику"...
Открывается стартовая - то гугл, то еще какая-то гадость.
Периодически в нижней строке эксплоера появляется надпись "Ошибка страницы".
Рекомендации из соседней аналогичной темы не помогли.
По рекомендации из "ЧАВО" прикрепляю лог только из Hijack, потому как "чайник" и каждое телодвижение занимает кучу времени, но если без других логов никак, прийдется разбираться.
Заранее спасибо!
без других никак, логи AVZ даже вожнее..
Добавляю все логи
выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\42363150.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
QuarantineFile('C:\\dvt.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('C:\WINDOWS\system32\onlinewpset.ocx','');
DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\42363150.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2
Пофиксите эти строки в HijackThis
[code]O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\WINDOWS\42363150.dll (file missing)
O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)[/code]
Сделано
Ego1st, я надеюсь продолжение будет?:) :upset:
C:\Program Files\WeatherStudio348\bin\WeatherStudio348.dll -
not-a-virus:AdWare.Win32.Comet.az
Если WeatherStudio не есть необходимая вам программа, тогда
выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\WeatherStudio348\bin\WeatherStudio348.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки можно удалить папку
C:\Program Files\WeatherStudio348
Сделайте новые логи п.10 и 12 правил.
Ну вот, доигралась, эксплоер совсем умер:'-( при загрузке любой страницы пишет "синтаксическая ошибка". Вроде ничего лишнего кроме рекомендаций не делала...
Шлю новые логи, очень надеюсь на помощь...
Профиксите в HijackThis строчку:
[CODE]
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\ldhje783.dll
O4 - HKCU\..\Run: [Restore Operation] C:\WINDOWS\TEMP\svchots.exe
[/CODE]
Должно помочь.
сделала, увы...никаких изменений (видимых)
в AVZ выполнить скрипт.
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\TEMP\svchots.exe','');
QuarantineFile('c:\windows\temp\wnset.exe','');
QuarantineFile('C:\\d_v_t.reg' ,'');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать карантин за сегодняшнее число.
сделано
Плиз! Очень жду Вашей помощи!
C:\WINDOWS\system32\ldhje783.dll - Trojan-Downloader.Win32.Small.ddx
c:\windows\temp\wnset.exe - Trojan-Downloader.Win32.Agent.avf
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ldhje783.dll');
DeleteFile('C:\WINDOWS\TEMP\wnset.exe');
DeleteFile('C:\WINDOWS\TEMP\svchots.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://as.weatherstudio.com/dp/search?x=wKX1ILEOi+UdWpSlz2q9Dzn13Emww/YwLe98kRA1QsCewy/xxg4iB+md0m424O23HztxWHeWIcdGC1l7yLvFK7O3GVpX3lS1XiUhMHFpc5bf18xP49TPv29lNqnwZ+AH
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\ldhje783.dll
O3 - Toolbar: WeatherStudio348 - {15757333-2BCA-4B77-A807-D0955132F812} - C:\Program Files\WeatherStudio348\bin\WeatherStudio348.dll (file missing)
O4 - HKCU\..\Run: [Restore Operation] C:\WINDOWS\TEMP\svchots.exe
[/code]
Повторите два последних лога.
Да куда уж мне убегать! Сижу, жду, надеюсь! :)
Я написал скрипт (см. выше).
Когда ж вы успели новеньких-то насобирать? :))
Антивируса не видно на "больном". :( Да и фаервалла тоже.
Лишь "ломалка" NOD32 в автозапуске болтается. Можем не успевать лечить.
Кстати, на virustotal winset.exe или как его там почти только Касперский не определяет. Надо бы им новые базы поставить.
[QUOTE]Антивируса не видно на "больном". [/QUOTE]
Почему же, видно:
[QUOTE]O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe[/QUOTE]
Только вот обновляется ли он? Похоже, не часто :)
@Bratez Я не увидел, видать обеденное время помешало.
Я уже здесь.
Где беруться новенькие вообще ума не приложу, в данный момент в интернет захожу с другого компа, на том из инета только почта работает (ну и наверное подгружается какая-то беда о которой я не знаю). У меня две "каки" были установлены - Watherstudio i Online Wallpaper, каюсь :)
Антивирус по идее должен обновляться регулярно, т.к. стоит выделенка и он сам должен себя обновлять.
Все сделала, но строки О2 не оказалось в принципе, а О4 с таким содержанием тоже не нашлось. Остальное пофиксила.
Вот новые логи (на всякий случай все)
Теперь в логах чисто. Эксплорер ожил, надеюсь?
Не-а:'-(
Очень странно... Хотелось бы взглянуть на скриншот этой "синтаксической ошибки". Если надо, здесь подсказки:
[url]http://virusinfo.info/showthread.php?t=8577[/url]
Не знаю правильно ли я его сделала. Я его слегка уменьшила.
Вот
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\\dvt.exe','');
QuarantineFile('c:\program files\online wallpaper changer\onlinewallpaper.exe','');
QuarantineFile('c:\windows\explorer.exe','');
RebootWindows(false);
end.
[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Повторите логи с загруженным IE.
Сделала.
Пока карантин. Логи сейчас будут.
Карантин пустой.
@MaXim: dvt.exe - кряк NOD'a.
[QUOTE]@MaXim: dvt.exe - кряк NOD'a.[/QUOTE]Я не пользуюсь NOD. Пардон.
Как пустой? Я в AVZ архивировала штук 7 строчек было....
Вот логи, они еще нужны в таком виде или все заново? У меня уже нет сил, что ж за беда такая:?
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
BC_QrFile('c:\windows\explorer.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
В карантин должен попасть нужный нам файл.
Во время получения логов IE был запущен? В логах его не видно.
Загрузила новый карантин. Я так понимаю что он там есть.
IE был запущен, но с пустой страницей. Может надо было в состоянии "синтаксической ошибки" ?
Explorer.exe из карантина проверил на VirusTotal.
Все дружно сказали [B]found nothing[/B].
И что же мне делать?!?!:embarasse
По результатам virustotal файл чистый. Скажите, а вы используете только Internet Explorer? Других браузеров на машине не установлено?
нет. Есть только программки, которые используют инет, например банк-клиент. Не знаю имеет ли это значение.
А банк-клиент работает?
Работает, и почта работает, более того, некоторые сайты начали загружаться, а некоторые по прежнему нет. Может вот это что-то подскажет?
c:\windows\explorer.exe
Infected=bcqr00001.dat = Trojan.Win32.Patched.k
[code]Hello,
bcqr00001.dat - Trojan.Win32.Patched.k
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Yaroslav Kirillov
Virus analyst, Kaspersky Lab.
e-mail: [email][email protected][/email]
[url]http://www.kaspersky.com/[/url]
[url]http://www.kaspersky.com/virusscanner[/url] - free online virus scanner.
[url]http://www.kaspersky.com/helpdesk.html[/url] - technical support.
> Attachment: 070426_174431_virus_4630acbfc272f.zip
> VirusInfo Из темы [url]http://virusinfo.info/showthread.php?t=9290[/url] 070426_174431_virus_4630acbfc272f.zip
> [/code]
Интуиция наших хелперов сильнее вирустотал :)
Замените этот файл на оригинальный эксплорер с дестрибьютива.
Сорри, я все-таки "чайник", объясните пожалуйста. Это что у меня новый неизведанный вирус обнаружился?
И где мне несчастной взять этот файл?
[quote=Кузька;106115]Сорри, я все-таки "чайник", объясните пожалуйста. Это что у меня новый неизведанный вирус обнаружился?
И где мне несчастной взять этот файл?[/quote]
Во первых , примите поздравления :)
А если серьёзно, то есть несколько вариантов :
1)с диска оригинального от ХП :)
2) могу прислать свою версию . у меня английская версия , если русская версия - может у кого тут на форуме есть подходящая версия .