не запускается IE память не может быть written

[dlenacsm]

Неожиданно перестал запускаться IE - ответ в окошке "память не может быть written". Windows в безопасном режиме не запускается поэтому CureIT проверял в обычном. нашел один вирус но это проблему не сняло. отправляю файлы с другого компьютера. посмотрите пожалуйста.

[dlenacsm]

ну почему же Вы не отвечаете? неужели все так плохо?

[PavelA]

База поcледний раз обновлялась 09.04.2009 необходимо обновить.
Версию AVZ обновить.
Логи переделать.
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE');
 QuarantineFile('C:\WINDOWS\system32\A3.exe','');
 QuarantineFile('C:\WINDOWS\system32\tapi.nfo','');
 DeleteFile('C:\WINDOWS\system32\tapi.nfo');
 DeleteFile('C:\WINDOWS\system32\A3.exe');
 DeleteFile('C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.

[dlenacsm]

Сделали так:
- обновили AVZ и базы
- выполнили ваш скрипт
- после перезагрузки выполнили стандартный скрипт 3
- после перезагрузки выполнили стандартный скрипт 2
- выполнили HijackThis

итог: IE не запускается, ответ тот же, при включении машина выдает окно ошибка RUNDLL "Ошибка при загрузке tapi.nfo не найден указанный модуль. это сообщение пишем в свежеустановленной мозилле, она работает.

файлы вложены.

[PavelA]

Профиксить:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tapi.nfo beforeglav
O4 - HKLM\..\Run: [systme] C:\WINDOWS\system32\A1.exe

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
 DeleteFile('C:\WINDOWS\system32\A1.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить логи.
Прислать карантин по Правилам.

[dlenacsm]

готово

[Белый Сокол]

Чисто. Жалобы есть?

[dlenacsm]

есть. IE как не работал так и не работает. на всякий случай приложили принт скрин с ответом системы. извините за самодеятельность

[Белый Сокол]

Выполните:

Код:

begin
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(6);    
RebootWindows(true);
end.

- Попробуйте переустановить IE.
- Обновите Adobe reader.

[dlenacsm]

выполнили скрипт и произошло вот что.
IE запустился, но при попытке перейти по адресу опять выскочило окно "не может быть written", но в этот раз нажали не ОК а отмена и IE сообщил что страница была закрыта для защиты компьютера а адрес в строке оказался вот такой "res://ieframe.dll/acr_depnx_error.htm#,about:blank".
Переустанавливать IE? если да где лучше взять дистрибутив?
а адобе при поиске обновлений предлагает только Лэнгвидж суппорт. устанавливаешь его а он опять предлагает

[PavelA]

Можно до переустановки IE проверку MBAM запустить. Лог сюда приложить.

Кстати, а в защищенном режиме ИЕ запускается?

[Белый Сокол]

Переустанавливать IE? если да где лучше взять дистрибутив?

Я думаю, что здесь будет правильнее всего.

[dlenacsm]

в безопасном режиме запускается IE, но там интернета нет
буду переустанавливать. спасибо

[Белый Сокол]

И еще вот это сделайте:

Можно до переустановки IE проверку MBAM запустить. Лог сюда приложить.

[dlenacsm]

дайте инструкцию как делать MBAM

Добавлено через 2 минуты

ну все это до понедельника (в сибири вечер)

[thyrex]

http://virusinfo.info/showthread.php?t=53070

[Rene-gad]

Переустанавливать IE? если да где лучше взять дистрибутив?

http://www.microsoft.com/rus/windows...r/default.aspx

а адобе при поиске обновлений предлагает только Лэнгвидж суппорт.

http://www.adobe.com/go/EN_UK-H-GET-READER


ПС: Люди, научитесь набирать один адрес: www.google.ru - и количество ненужных вопросов упадет до 0

[PavelA]

ПС: Люди, научитесь набирать один адрес: www.google.ru - и количество ненужных вопросов упадет до 0

Офф:не-а. Ему тоже правильно формулировать нужно. Я тут два часа искал И-цию
из-за неверно сформулированного запроса.

[dlenacsm]

Вот лог из MBAM. пока переустанавливаю адобе реадер (так и не понятно почему нельзя обновить через встроеный в эту программу апдейт) и жду инструкций как действовать - переустанавливать IE или будут еще указания по борьбе с гадами.

[Rene-gad]

будут еще указания по борьбе с гадами.

В Мбам по списку

Код:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} 
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} 
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678}
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 

C:\Documents and Settings\NetworkService\Application Data\wsnpoem
C:\WINDOWS\system32\wsnpoem

C:\Documents and Settings\Director\Local Settings\Temp\123.tmp
C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\audio.dll.cla
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
C:\Program Files\Internet Explorer\rasadhlp.dll
C:\WINDOWS\system32\logon.exe

удалите.

адобе реадер (так и не понятно почему нельзя обновить через встроеный в эту программу апдейт)

Адобе Ридер обновляется через встроенный апдейтер в пределах главной версии, т.е. если у Вас Adobe Reader 7.0, Вы можете обновить его до Adobe Reader 7.3. На Adobe Reader 9 нужно скачать и установить полную версию продукта.

переустанавливать IE

Не надо: скачайте и запустите сетап последней версии.