Не работают браузеры (Имя события проблемы: BEX);

[shaykh]

Пару дней назад перестали работать браузеры Internet Explorer, Opera и Google Chrome.
При запуске Opera выдаёт ошибку:

Сигнатура проблемы:
Имя события проблемы: BEX
Имя приложения: opera.exe
Версия приложения: 11.62.1347.0
Отметка времени приложения: 4f6d9216
Имя модуля с ошибкой: StackHash_9832
Версия модуля с ошибкой: 0.0.0.0
Отметка времени модуля с ошибкой: 00000000
Смещение исключения: 89dcddbe
Код исключения: c0000005
Данные исключения: 00000008
Версия ОС: 6.1.7601.2.1.0.768.3
Код языка: 1049
Дополнительные сведения 1: 9832
Дополнительные сведения 2: 98329eafb87a6d154770978961eb862e
Дополнительные сведения 3: 2a55
Дополнительные сведения 4: 2a55763e2baddba9f76d0698b639accb

При запуске IE выдаёт ошибку:

Сигнатура проблемы:
Имя события проблемы: BEX
Имя приложения: iexplore.exe
Версия приложения: 8.0.7601.17514
Отметка времени приложения: 4ce79912
Имя модуля с ошибкой: StackHash_0a9e
Версия модуля с ошибкой: 0.0.0.0
Отметка времени модуля с ошибкой: 00000000
Смещение исключения: 8b4616ee
Код исключения: c0000005
Данные исключения: 00000008
Версия ОС: 6.1.7601.2.1.0.768.3
Код языка: 1049
Дополнительные сведения 1: 0a9e
Дополнительные сведения 2: 0a9e372d3b4ad19135b953a78882e789
Дополнительные сведения 3: 0a9e
Дополнительные сведения 4: 0a9e372d3b4ad19135b953a78882e789

Google Chrome запускается. Но не загружает ни одну веб-страницу.

В "подробностях проблемы" в конце написано:
Ознакомьтесь с заявлением о конфиденциальности в Интернете:
http://go.microsoft.com/fwlink/?link...8&clcid=0x0419
При переходе по этой ссылке открывается Opera (т.к. является браузером по умолчанию) и работает нормально. Собственно таким образом я сейчас и захожу в интернет. Пытался скопировать ссылку и пройти по ней в Google Chrome, однако он не загружает страницу.

Прошу помощи!)

[Info_bot]

Уважаемый(ая) shaykh, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Скачайте и распакуйте свежую версию AVZ:
http://z-oleg.com/avz4.zip

Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Пофиксите в HijackThis (как пофиксить):

Код:

F2 - REG:system.ini: Shell=C:\WINDOWS\EXPLORER.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\USERINIT.EXE
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\users\Пользователь\appdata\roaming\netprotocol.exe');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\netprotocol.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xBP1Q0tdWzo.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oF29JzLBNMQ.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algnsur96FM.exe','');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algnsur96FM.exe');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oF29JzLBNMQ.exe');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xBP1Q0tdWzo.exe');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\netprotocol.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.

[shaykh]

вот

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\DtSSGuxmXp8siVz','*.*', true);
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\DtSSGuxmXp8siVz');
 DeleteFileMask('C:\DtSSGuxmXp8siVz','*.*', true);
 DeleteDirectory('C:\DtSSGuxmXp8siVz');
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\d1XPm6RKXvHHwTa','*.*', true);
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\d1XPm6RKXvHHwTa');
 DeleteFileMask('C:\d1XPm6RKXvHHwTa','*.*', true);
 DeleteDirectory('C:\d1XPm6RKXvHHwTa');
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\bJlbDjVEY17fpwz','*.*', true);
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\bJlbDjVEY17fpwz');
 DeleteFileMask('C:\bJlbDjVEY17fpwz','*.*', true);
 DeleteDirectory('C:\bJlbDjVEY17fpwz');
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\Hkcqi5NMzj8id88','*.*', true);
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\Hkcqi5NMzj8id88');
 DeleteFileMask('C:\Hkcqi5NMzj8id88','*.*', true);
 DeleteDirectory('C:\Hkcqi5NMzj8id88');
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\mvdX8bcAj5SHLqx','*.*', true);
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\mvdX8bcAj5SHLqx');
 DeleteFileMask('C:\mvdX8bcAj5SHLqx','*.*', true);
 DeleteDirectory('C:\mvdX8bcAj5SHLqx');
 DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\rg2z6jpB3tDri8i','*.*', true);
 DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\rg2z6jpB3tDri8i');
 DeleteFileMask('C:\rg2z6jpB3tDri8i','*.*', true);
 DeleteDirectory('C:\rg2z6jpB3tDri8i');
 ClearQuarantine;
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\elro.exe','');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\elro.exe');
 QuarantineFile('C:\Windows\system32\movrwyl.dll','');
 DeleteFile('C:\Windows\system32\movrwyl.dll');
 QuarantineFile('C:\Windows\system32\7484.tmp','');
 DeleteFile('C:\Windows\system32\7484.tmp');
 QuarantineFile('C:\Windows\system32\3800.tmp','');
 DeleteFile('C:\Windows\system32\3800.tmp');
 QuarantineFile('C:\plg.txt','');
 DeleteFile('C:\plg.txt');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\wklnhst.dat','');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\wklnhst.dat');
 QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\hiwxrgj.exe','');
 DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\hiwxrgj.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.

Смените все пароли.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\пользователь\\appdata\\roaming\\microso ft\\windows\\start menu\\programs\\startup\\of29jzlbnmq.exe - Trojan-Spy.Win32.Carberp.kvx ( DrWEB: Trojan.Carberp.340, BitDefender: Trojan.Generic.KDV.617275, NOD32: Win32/TrojanDownloader.Carberp.AD trojan, AVAST4: Win32:Carberp-ADA [Trj] )
  2. c:\\users\\пользователь\\appdata\\roaming\\microso ft\\windows\\start menu\\programs\\startup\\xbp1q0tdwzo.exe - Trojan-Spy.Win32.Carberp.mha ( DrWEB: Trojan.Carberp.423, BitDefender: Gen:Variant.Kazy.72805, AVAST4: Win32:MalOb-KL [Trj] )
  3. c:\\users\\пользователь\\appdata\\roaming\\netprot ocol.exe - Trojan-Ransom.Win32.Gimemo.spg ( DrWEB: BackDoor.Butirat.60, BitDefender: Gen:Variant.Zusy.7006, AVAST4: Win32:Downloader-OLW [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !