Не запускается IE

Printable View

16.04.2007, 12:52
Iness

Не запускается IE

Попал ко мне троян.
Причем Norton Antivirus сразу увидел его, но воспрепятствовать проникновению почему-то не смог.
IE отказывался старовать, и появлялось сособщение, что недоступен какой-то адрес.
При сканировании NA обнаружил 13 заражённых объектов, один из которых - usbpda.dll счел неудаляемым.
Потом AVZ просканировал, нашел тоже usbpda.dll, но смог его удалить.
Проблему с IE это не решило, но сообщение изменилось: теперь при попытке запуска выводится: "Приложению не удалось запуститься, поскольку msvcrl.dll не был найден"
Вот мои логи:
16.04.2007, 13:23
PavelA

[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\Documents and Settings\Инна\Application Data\Mra\Update\games.dll','');
QuarantineFile('E:\Documents and Settings\Инна\DISTRIB\Symantec Norton Antivirus 2005.rar/{RAR}/crack.exe','');
QuarantineFile('E:\WINDOWS\system32\RedSwoosh.cpl','');
QuarantineFile('e:\windows\system32\shslctr.dll','');
QuarantineFile('e:\windows\system32\r_server.exe','');
QuarantineFile('msvcrl.dll','');
QuarantineFile('usbpda.dll','');
RebootWindows(true);
end.
[/CODE]

После перезагрузки -> Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9024[/url]........

Два антивируса и все равно проблемы. Надо, наверное, оставить одного какого-нибудь.
16.04.2007, 13:52
drongo

надо бы ещё нортон старый удалить (аваст свежей), и IE doctor - а то восстанавливать систему будет не возможно.
16.04.2007, 14:08
Iness

PavelA, спасибо!
После скрипта карантин содержит несколько файлов.
Архив получается тяжелый, наверно придется по одному.

drongo, доктора я уже удалила, нортон тоже прибью, если надо.
16.04.2007, 14:12
drongo

Инесс , так сложно прочитать правила ( приложения 3) ? я же линк дал : [url]http://virusinfo.info/upload_virus.php?tid=9024[/url]
, по нему и закачивай . А тут нельзя, иначе красную карточку подарю :)
P.S. в любом случае 2 антивира на компе ни к чему хорошему не приведут (Нортон во первых старый, во вторых по моему меньше знает чем аваст , поэтому советую удалить его.)
16.04.2007, 14:32
Iness

ой :icon_smil

я постараюсь быть внимательнее :)
16.04.2007, 15:07
Iness

Насчет двух антивирусов.
Обычно работает NA, плюс иногда запускаю AVZ, отключая при этом NA (но его я считаю "особым" средством, ни с чем не конфликтующим)
Аваст 4.7 установила с горя из-за текущей проблемы. Возможно, он не может корректно работать, когда есть NA, даже выключенный. Потому что он не нашёл вообще ничего, даже usbpda.dll
16.04.2007, 15:47
Bratez

[QUOTE]Возможно, он не может корректно работать, когда есть NA[/QUOTE]
Хрен редьки не слаще :). Посмотрите это:
[url]http://virusinfo.info/attachment.php?attachmentid=8665&d=1176123280[/url]
(подсказка: у кого красный столбик выше, тот молодец).
16.04.2007, 16:09
Numb

В присланном вами карантине, в архиве E:\Documents and Settings\Инна\DISTRIB\Symantec Norton Antivirus 2005.rar - целых два вируса: файл keygen.exe - Trojan-Downloader.Win32.Small.edb; файл crack.exe - Trojan-Dropper.Win32.Agent.axq (по классификации Касперского). Что еще раз показывает: кряки - это плохо :(
По остальным файлам однозначного детекта нет. Файлы msvcrl.dll, r_server.exe и usbpda.dll в карантин не попали. Попробуйте найти и прислать их, как написано [URL="http://virusinfo.info/showthread.php?t=4567"]здесь[/URL]. Восстановить работу Internet Explorer-а можно попробовать с помощью утилиты [URL="http://users.telenet.be/marcvn/tools/haxfix.exe"]Haxfix[/URL] - скачать, установить, после запуска выбрать Run auto fix
16.04.2007, 17:01
Iness

Numb,
по проблемным файлам.
1. usbpda.dll - нашёл NA, потом удалил AVZ
2. r_server.exe - вероятнее всего, это RAdmin, который я забыла отключить :wall:
3. msvcrl.dll - поискала с помощью AVZ, безрезультатно.
16.04.2007, 21:28
RiC

Скачайте [url=http://users.telenet.be/marcvn/tools/haxfix.exe]Haxfix[/url] и установите, после запуска из меню выберите [b]2. Run auto fix[/b]
После повторите ещё раз логи по правилам.
17.04.2007, 12:41
Iness

Граждане дорогие.
После скачивания Haxfix и далее всё как велено, произошло следующее:
1. Стал запускаться IE
2. Сделалось страшное с AVZ. В попытке создать новые логи, AVZ сканировал систему и спустя где-то 25 минут от начала процесса выдал сообщение: "Access violation at adress 00402254 in module 'avz.exe'. Write of address"
Сообщение вывелось раз 20, потом AVZ самопроизвольно закрылся.
17.04.2007, 12:46
Bratez

[QUOTE]Сделалось страшное с AVZ.[/QUOTE]
Перед запуском AVZ не забыли отключить ваши аваст с нортоном?
Перезагрузитесь и попробуйте еще разок.
Если так и не пойдет, сделайте пока хотя бы лог HijackThis.
17.04.2007, 12:56
Iness

Вложений: 1

Аваст с Нортоном уже убиты напрочь :)
Вот единственный лог, который удалось сделать HijackThis-ом:
(прочла внимательно правила, вроде эти логи можно здесь размещать)
17.04.2007, 13:35
Bratez

В этом логе ничего подозрительного не видно.
17.04.2007, 13:48
Iness

Bratez,
можем ли мы считать, что проблема решена?

Все вроде хорошо, и IE заработал бойко. Только AVZ почему-то закидывается. Это говорит о чем-то?..

Да! И ещё! Что же теперь с антивирусом-то. Аваст ставить?
17.04.2007, 13:56
Bratez

Насчет AVZ - честно говоря, не знаю. Можно попробовать сделать логи в безопасном режиме. А антивирус лучше выбрать другой, Аваст не обеспечивает нормальной защиты. Соседняя тема про Warezov - тому яркое подтверждение.
17.04.2007, 14:09
Numb

В дополнение, в логе Hijackthis видна лишняя служба: [code]O23 - Service: Reset 5 - Unknown owner - E:\WINDOWS\system32\srvany.exe[/code]Она, обычно, используется для обхода активации Windows SP1. На SP2 не работает. Если захотите убрать, - "Пуск" - "выполнить" - выполните последовательно следующие команды: [code]sc stop "Reset 5"
sc config "Reset 5" start= disabled
sc delete "Reset 5"[/code] Если останутся, после выполнения в Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строки: [code]O20 - Winlogon Notify: reset5 - E:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - E:\WINDOWS\system32\srvany.exe[/code]
17.04.2007, 16:14
Iness

Вложений: 2

Bratez,
удалось сделать логи AVZ в безопасном режиме.

Numb,
спасибо, попробую удалить эту штуку.
17.04.2007, 16:25
Iness

Numb,
всё удалилось командной строкой!
Спасибо :)
17.04.2007, 16:32
Bratez

От Нортона осталось задание в планировщике - удалите.
Если нет других программ от Symantec - можно удалить папку
E:\Program Files\Symantec.
Больше сказать нечего. Поведение AVZ так и остается загадкой.
18.04.2007, 10:07
Iness

Хорошо, будем считать, что всё в порядке, AVZ работает в безопасном режиме :)

[B]Bratez, Numb, RiC, PavelA, drongo[/B] - ребята, спасибо всем огромное за помощь :048:
Так замечательно, что вы есть.
22.02.2009, 01:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\documents and settings\\инна\\distrib\\symantec norton antivirus 2005.rar - [B]Trojan-Downloader.Win32.Small.edb[/B] (DrWEB: archive: Trojan.MulDrop.6400)[*] e:\\windows\\system32\\shslctr.dll - [B]Trojan.Win32.Agent.vw[/B][/LIST][/LIST]