Проблемы с IE

Printable View

Показывать 40 сообщений этой темы на одной странице

18.03.2007, 13:03
graphh

Проблемы с IE

При вводе любого адреса в IE открывается одна и та-же флэш страница, хотя адрес остаётся тот который вводил.
18.03.2007, 13:28
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ieframe.dll','');
QuarantineFile('C:\WINDOWS\system32\bmpsap.dll','');
QuarantineFile('c:\windows\system32\1xconfig.exe','');
ClearHostsFile;
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
18.03.2007, 14:34
graphh

выполнил скрипт, файлы карантина прислал
19.03.2007, 09:56
Shu_b

Ответ - [KLAB-1849779]
[QUOTE]Здравствуйте.
В присланном Вами файле не найдено ничего вредоносного.
---------
С уважением, Гаврильченко Роман
Вирусный аналитик
ЗАО "Лаборатория Касперского"
[/QUOTE]
19.03.2007, 10:16
drongo

btxppanel.dll - вызывает подозрение, это кто будет?
Выполните скрипт в AVZ
[code]
begin
ClearQuarantine();
QuarantineFile('C:\WINDOWS\system32\btxppanel.dll','');
end.
[/code]
пришлите файл карантина по правилам раздела "Помогите".
19.03.2007, 13:04
PavelA

F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
- профиксить в HijackThis.

Поискать в AVZ этот autorun.bat. Не понятно, чего он там запускает.

Заметил еще одну штучку: C:\Program Files\CellMedia\Ponochka\PopupBlocker.dll. С этой "поночкой" были у нас однажды проблемы с Интернетом.
19.03.2007, 14:52
PavelA

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. см. [url]http://virusinfo.info/showthread.php?t=7239[/url]

[CODE]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_QrFile('\??\C:\WINDOWS\system32\windrvNT.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Прислать карантин согласно приложения 3 правил .
19.03.2007, 15:49
Numb

Попутно: у вас виден Outpost. Он имеет собственный модуль DNS - попробуйте в настройках данного модуля очистить кэш DNS, или, на время, вообще отключить данный модуль и сообщите сюда, изменится ли ситуация с открытием страниц.
19.03.2007, 22:14
graphh

[B]drongo[/B][QUOTE]btxppanel.dll - вызывает подозрение, это кто будет?
Выполните скрипт в AVZ[/QUOTE]
в карантине ничего не сохраняется.

[B]PavelA[/B]
пофиксил, поночку удалил.
файл карантина выслал.

[B]Numb[/B]
в оутпосте очистил кэш днс , всё без изменений
20.03.2007, 07:21
Кто?

[quote="PavelA"]F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
- профиксить в HijackThis.

Поискать в AVZ этот autorun.bat. Не понятно, чего он там запускает.[/quote]
[quote="Л.К."]Здравствуйте,

autorun.bat. - Virus.VBS.Small.a

Этот файл определяется антивирусом. Обновите антивирусные базы.
[/quote]
Выполнить:
[code]begin
SetAVZGuardStatus(True);
BC_DeleteFile('C:\autorun.bat');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки приложить к сообщению файл boot_clr.log
20.03.2007, 11:41
graphh

[B]Кто?[/B]
скрипт выполнил
boot_clr.log:
DeleteFile \??\C:\autorun.bat - failed (0xC0000121)
-- End --
20.03.2007, 11:45
graphh

изменений не наблюдается,
может надо пофиксить O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
20.03.2007, 11:57
PavelA

Попробуйте поискать в AVZ autorun.bat
Если найдется, то удалите его.

@Кто? На всякий случай проверим работу скрипта. Сомневаюсь, что это
autorun.bat лежал в корне С
20.03.2007, 12:34
graphh

кроме autorun.bat там ещё куча авторунов все в корне, кстати и бат там был я его удалил
[QUOTE]autorun.exe
autorun.srm
autorun.bin
autorun.wsh
autorun.vbs
Autorun.ini
autorun.reg
AUTORUN.INF
autorun.inf_被屏蔽木马
autorun.txt[/QUOTE]
20.03.2007, 12:35
Bratez

Если подозревается autorun.bat. - Virus.VBS.Small.a, то нужно сделать так:
Включить в проводнике показ скрытых и системных файлов;
На всех дисках, в т.ч. флэшках найти и удалить все файлы autorun.* (т.е. с любыми раширениями), их будет штук по 10.
После этого вероятно нарушится возможность открыть диск через "Мой компьютер", понадобится правка реестра, при необходимости сообщу подробности.
20.03.2007, 12:36
Bratez

Пока писал, все подтвердилось :) Удаляйте их все!
20.03.2007, 12:38
graphh

AVZ нашёл
C:\WebServers\autorun.bat
C:\WINDOWS\system32\autorun.bat
20.03.2007, 12:40
Bratez

[quote=graphh;100453]AVZ нашёл
C:\WebServers\autorun.bat
C:\WINDOWS\system32\autorun.bat[/quote]
И это он же самый - удаляйте.
20.03.2007, 12:47
graphh

всё удалил, проблема осталась
20.03.2007, 12:51
Bratez

Понятно, Ваша проблема не от этого, просто попутно выявилось :)
Диски через "Мой компьютер" нормально открываются?
20.03.2007, 12:54
Bratez

Не забудьте выполнить скрипт из поста #7 и прислать карантин.
20.03.2007, 12:55
graphh

[QUOTE=Bratez;100459]Понятно, Ваша проблема не от этого, просто попутно выявилось :)
Диски через "Мой компьютер" нормально открываются?[/QUOTE]

без проблем
20.03.2007, 13:00
Bratez

Хорошо, с авторанами вопрос закрыт.
Искомый карантин нашел, прошу прощения.
Проверил - там чисто, будем дальше думать.
20.03.2007, 18:57
graphh

есть у кого-нибудь ещё идеи?
20.03.2007, 19:01
Макcим

Сделайте пожалуйста новые логи.
У Вас есть ещё браузер кроме IE? Как Вы сейчас зашли на наш форум?
20.03.2007, 19:22
PavelA

Посмотрел в карантине autorun.bat
Пытается чего-то вписать в реестр. То, что вписывали лежало в autorun.reg. Теперь его не увидишь.
Если не выходит запустить autorun.bat, то пытается запустить autorun.vbs
Его тоже удалили. Может погорячились?? :-)

[b]windrvNT.sys[/b] - VBA32 3.11.2 03.19.2007 Trojan.NtRootKit.131
Он единственный определил.
Такую программу как Folder Lock используете?
20.03.2007, 19:47
PavelA

auturun.* удаляли из AVZ, а то тот что с иероглифами может и не удалиться.
Для образования: [url]http://forum.drweb.com/viewtopic.php?t=4494[/url]
Про него пишут.
20.03.2007, 21:14
graphh

[quote=MaXim;100511]Сделайте пожалуйста новые логи.
У Вас есть ещё браузер кроме IE? Как Вы сейчас зашли на наш форум?[/quote]

Работаю в Опере есть ещё Firefox
Folder Lock установлен
20.03.2007, 21:23
graphh

auturun.* удалил тотал командером делал несколько перезагрузок не появляются (тьфу-тьфу)
20.03.2007, 21:32
Макcим

[QUOTE]Работаю в Опере есть ещё Firefox[/QUOTE]В них тоже такая проблема как в IE?
20.03.2007, 21:40
graphh

в них идеально, их ничего не берёт
20.03.2007, 21:42
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteSvc('windrvNT');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
К следующему сообщению прикрепите файл bclr.log из папки AVZ.

Запустите AVZ. Сервис - Поиск данных в реестре. Введите "autorun" без каывчек. По окончании поиска сохраните протокол и тоже прикрепите к своему сообщению.

Потом AVZ - Файл - Восстановление системы - пункт №4 - Выполнить отмеченные операции
20.03.2007, 22:15
graphh

Вложений: 2

всё выполнил
20.03.2007, 22:25
graphh

кому интересно поглядеть, может визуально кто узнает
20.03.2007, 22:44
Макcим

[B]PavelA[/B], Вам пять!
[B]graphh[/B], Запустите повторный поиск как я писал выше. По окночании поиска выберите закладку "Найденные ключи" отметьте
[CODE]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\AutoRun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\AutoRun\command\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\explore\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\open\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\AutoRun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\AutoRun\command\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\explore\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\open\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f9806b1-8615-11d9-8392-806d6172696f}\_Autorun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f9806b1-8615-11d9-8392-806d6172696f}\_Autorun\DefaultIcon\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f9806b1-8615-11d9-8392-806d6172696f}\_Autorun\DefaultIcon\ = D:\Autorun.exe,0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53cc2640-229f-11d9-a3bc-806d6172696f}\_Autorun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53cc2640-229f-11d9-a3bc-806d6172696f}\_Autorun\DefaultIcon\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bff18610-3e29-11da-8158-00e091084a32}\_Autorun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bff18610-3e29-11da-8158-00e091084a32}\_Autorun\DefaultIcon\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\AutoRun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\AutoRun\command\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\explore\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\open\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\AutoRun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\AutoRun\command\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\explore\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\open\Command\ = WScript.exe .\autorun.vbs
[/CODE]и нажмите удалить отмеченные ключи. Перезагрузитесь.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ExecuteRepair(1);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]

Повторите логи и поиск. Надеюсь это последний этап.
20.03.2007, 22:46
Макcим

[QUOTE]кому интересно поглядеть, может визуально кто узнает[/QUOTE]Кошмар! Я бы у себя ни когда такого не допустил.
20.03.2007, 22:57
graphh

[QUOTE=MaXim;100544]Кошмар! Я бы у себя ни когда такого не допустил.[/QUOTE]
Я же не один на компе работаю, за всеми не уследишь
20.03.2007, 23:08
Макcим

[QUOTE]Я же не один на компе работаю, за всеми не уследишь[/QUOTE]Windows многопользовательская система-это раз, запретить в файрволе любую активность для IE-это два и настройки файрвола под пароль-это три :) Выполняли мои рекомендации?
21.03.2007, 00:19
graphh

Вложений: 4

всё сделал.... проблема осталась
21.03.2007, 00:36
Макcим

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - DctMapping - (no file)[/CODE]
Больше приципиться не к чему :(

Показывать 40 сообщений этой темы на одной странице