Проблемы с Iexplore.exe. Система виснет. Процесс маскируется.
Printable View
Проблемы с Iexplore.exe. Система виснет. Процесс маскируется.
Сочувствую.
Если вы хотите, чтобы вам не только посочувствовали, но и помогли,нужно выполнить правила ([url]http://virusinfo.info/showthread.php?t=1235[/url]) и прислать 3 лога.
Похоже процесс продолжается. Хотя и не так шустро.
Первый раз вложения не дошли. Может я еще чего не сделал? Был бы признателен за совет.
Пофиксите с помощью Hijackthis строчки: [code]F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,C:\WINNT\system32\ntos.exe,
O2 - BHO: (no name) - {AF461491-BA7E-41A7-9E75-4F3A70CFCED2} - C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINNT\AUTOLO~1\AL2DLL.dll
O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
O4 - HKCU\..\Run: [userinit] C:\WINNT\system32\ntos.exe
O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINNT\system32\ntos.exe (User 'Default user')
O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm
O9 - Extra button: (no name) - DctMapping - (no file)[/code] Затем, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('K:\Webservers\etc\utils\Boot.exe','');
QuarantineFile('C:\WINNT\AUTOLO~1\AL2DLL.dll','');
QuarantineFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll','');
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('C:\WINNT\all.exe','');
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('\??\C:\WINNT\System32\drivers\runtime.sys','');
BC_DeleteFile('\??\C:\WINNT\System32\drivers\runtime.sys');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
// BC_DeleteFile('C:\WINNT\all.exe');
DeleteFile('C:\WINNT\system32\ntos.exe');
BC_DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll');
BC_DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll');
// DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll');
// BC_DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll');
BC_deleteSVC('runtime');
BC_deleteSVC('runtime2');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13304[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url], и сделайте новые логи, начиная с п.10 правил
"Пофиксите" это как понять. Извините, не понял.
Остальное сделаю сегодня ночью.
Пардон, увидел ссылку!
[size="1"][color="#666686"][B][I]Добавлено через 9 часов 18 минут[/I][/B][/color][/size]
Файлы из карантина закачал. Логи сейчас делаю. Их тоже закачать или будет сказано доплнительно?
Логи закачивай.
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
C:\WINNT\system32\ntos.exe - Trojan.Inject.436(Др.Веб), Trojan-PSW.Win32.Zbot.n (Касперский)
а второй Trojan.Pandex по Симантеку.
Время менять пароли везде и всюду.
После 10 пункта у меня 2 лога. Ничего
Странно, но некоторые выжили.
Выполнить в Safe Mode:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
DeleteFile('C:\WINNT\all.exe');
DeleteFile('C:\WINNT\system32\ntos.exe');
BC_DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll');
BC_DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll');
// DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll');
// BC_DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll');
// т.к. Доктор Веб снесен
BC_DeleteSvc('spidernt');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Затем снова сделать логи.
Антивирусником удалил 15 троянов. Ещё значит остались.
Логи после скрипта из №8?
В безопасном режиме архивного файла не создал или под той же датой что была до этого. Два раза запускал скрипт. Процесса зловредного фаервол не ощущает.
Никто гикуда не просится. Неужели...?
Лог отправлен один.
К сожалению я мало что здесь понимаю, но чувствую происходит что-то важное...
пофиксите ...
[code]
O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINNT\system32\msindeo.dll (file missing)
O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
[/code]
нужны новые логи AVZ как в первом вашем сообщении
Логи получать в обычном режиме, незащищенном?
в обычном режиме.
Закачиваю логи послепоследнего фиксинга.
похоже что все чисто , НР у вас есть ? если нет поищите orderreminder.exe через поис AVZ
HP это что? Не принтер же наверно...
Указанный файл сейчас поищу.
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
OrderReminder.exe есть, дата создания 18.11.2006 .
AVZ спрашивает копировать в карантин или удалить?
Что делать?
карантинить ,и отправить по ссылке над темой....
Принтер НР есть. Не догнал сразу...