-
Junior Member
- Вес репутации
- 51
Множественные проблемы после удаления "Баннера"
Здравствуйте! Прошу помощи! Постараюсь изложить всё подробно, т.к. я – дурень прилично напортачил. Пару дней назад поймал вирус банерного типа. Сделал следующее: 1. С помощью утилиты ProcessExplorerотследил «неправильный процесс», нашёл запускающий его файл и предварительно уничтожив процесс удалил файл вручную. 2. Просканировал систему в безопасном режиме Cureit–ом.
После этого перезагрузил систему и после перезагрузки увидел следующее: исчезли с рабочего стола ярлыки всех браузеров (IE и Opera)! Я попробовал воспользоваться ярлыками в системном трее и в панели задач, но в ответ получил сообщения типа «объект перемещён или удалён, хотите удалить ссылку из панели задач?» что-то в этом роде. Далее я проследовал в каталоги этих программ, чтобы запустить сам файл exe минуя ярлыки, но их там (файлов exe) вообще не оказалось! Тогда я ещё не растерялся и попробовал переустановить программы, но к моему изумлению после переустановки (у меня стояли НЕ последние версии обеих программ – IE 6 и Opera и сообщения «установка успешно завершена» файлов exe в каталогах обеих программ также не оказалось. В итоге программы стали дееспособны только после того, как я их полностью деинсталлировал и поставил последние версии данного софта (IE 8 и Opera 10.5 соответственно). А вот дальше я очень сильно ступил (знаю, что дурень, стыжусь) я нашёл на Вашем сайте тему с похожей проблемой и стал юзать эту страницу – читать что советуют Ваши специалисты. И так как я раньше с Вашим сайтом не сталкивался, то случайно помимо рекомендаций просканить Cureit и т.д. я выполнил чужой скрипт (отправленный вами для другого бедолаги). Я знаю, что помогать в этом случае очень сложно и Вы, конечно, не обязаны этого делать, но очень прошу Вас мне помочь. Я описал всё столь подробно потому, что теперь и не знаю что именно вызывает мои проблемы - последствия вируса или выполненный мной по недоразумению чужой скрипт.
В итоге целая плеяда проблем вылезла:
1. Каждый раз при загрузке компьютера (даже после корректного завершения всех работ при последнем сеансе) и входе в Internet Explorer программа выдаёт сообщение «последний сеанс был завершен неожиданно. Восстановить сеанс или перейти на домашнюю страницу», ну эта проблема не особо мешает, остальные напрягают больше.
2. При переходе между учётными записями пользователей периодически выскакивает ошибка SYSTEMS.EXE – я посмотрел в «сведениях» ошибки и понял что это тот самый файл, который запускал баннер (это точно он, я не путаю!), но ведь файла уже нет.
3. На компьютере сейчас 4 учётных записи пользователей и при работе на одной из них все ссылки открытых папок (прямоугольники в строке пуск) подписаны тарабарщиной - квадратиками, а не их названиями, при этом в строке «адрес» этих папок всё отображается корректно, и ещё интересно то, что это происходит только в одной учётной записи из четырёх.
4. Internet Explorer стал часто глючить – частенько не с того, не с сего о-о-очень долго открываются новые окна (по нескольку минут!), а иногда этот процесс и вовсе зависает, почти не работает стрелка «назад» - при её нажатии перескакивает сразу на несколько страниц и на превидущую попасть нельзя вообще, а иногда сообщает об ошибке (приложение будет закрыто).
5. И последнее, что очень напрягает – часто выскакивает ошибка «Explorer.exe» (именно Explorer, а не IExplorer), причём это бывает и при загрузке и при переходе между учётными записями и иногда даже просто при навигации по папкам! Причём иногда нажимаю «Не отправлять» (отчёт Microsoft) и работа продолжается, а частенько всё намертво виснет!
Вот такая запущенная (по моей тупости) ситуация. Прошу прощения, что так некратко, но я подумал что лучше подробно описывать. Заранее спасибо если несмотря на мои нарушения вы мне ответите и поможите.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 51
Я напсал, что раньше стояла Opera восемь, но почему-то отправился смайл!
-
Пофиксите в hijack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\8d95a31a.exe,\\?\globalroot\systemroot\system32\fvEmeMu.exe,
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: VirtualNetwork Class - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: ConnectionServices Class - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)
O2 - BHO: BitAccelerator Class - {92860A02-4D69-48c1-82D7-EF6B2C609502} - (no file)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
QuarantineFile('c:\windows\system32\drivers\XRNBO.sys','');
QuarantineFile('C:\WINDOWS\system32\8d95a31a.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\8d95a31a.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFileMask('C:\Program Files\AskBarDis', '*.*', true);
DeleteDirectory('C:\Program Files\AskBarDis');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Результаты лечения.
Здравствуйте ещё раз. Огромное спасибо, что несмотря ни на что, Вы мной занимаетесь! Всё сделал точно по инструкции. Карантин согласно Приложения 3 правил выслал! Теперь высылаю новые логи. Спасибо!
P.S. по поводу нерабочей стрелки "назад" в Internet Explorer - мне кажется, что это не связано с моей проблемой, а просто дело в настройках браузера новой версии, т.к. это происходит не на всех сайтах!
P.P.S. Прошу прощения, но Карантин (приложение 3) выслал без пароля на архив, т.к. создавал архив из AVZ и как не старался, не смог там найти как добавить к архиву пароль! Нужно ли в связи с этим переделать этот карантин?
-
Лог HiJack выложили старый или фикс не выполняли. Переделать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Junior Member
- Вес репутации
- 51
Извините, fix я, конечно, выполнил сразу, а вот лог действительно прикрепил старый! Мой косяк.
-
Плохого не видно
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Понятно, спасибо. Пробовал обновить JavaRe но не смог - пишет что что-то там с windows installer , Пишет, что возможно вы находитесь в защищенном режиме!
Добавлено через 1 час 37 минут
Всё, обновил JavaRE - потребовалось сначала переустановить Windows Installer. Осталось выяснить последний вопрос - из-за чего вылезли и не исчезают одновременно такое количество глюков и нарушений!
Спасибо огромное за потраченное на меня время.
Последний раз редактировалось HimeraHunter; 28.04.2010 в 17:13.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-