-
Junior Member
- Вес репутации
- 50
Закрывается IE6 после подтверждения пароля
Доброго времени суток!
Система WindowsXp SP3
"Восстановление системы" вырезано из дистрибутива.
Началась с неудачных потыток бухгалтера зайти на сайт "Электроного банка", после ввода пароля IE6 закрывался. Сначало ничего не заподозрил, но ситуация изменилась после того как на другом компьютере открытие сайта и регистрация прошли успешно.
Начал проверять на вирусы. Установлен McAfee, полная проверка ничего не дала. Скачал и проверил в безопастном режиме самой свежей версией CureIT от Доктор Вэба, нашел как обычно файлы программы RAdmin (к этому я уже привык, какой антивирь их не считает за вирус...) и один экспроил (по-мойму Adobe reader), эксплойд удалил, но регистрацию на сайте пройти так и не удалось - после подтверждения ввода пароль браузер продолжает закрываться.
Следуя правилам удалил McAfee. Пробую запустить AVZ, окно программы открывается букватьно на долисекунды, после чего закрывается. С HijackThis таже история. Смена имени файла AVZ и скаченые из правил переименованые фалы HijackThis так же не дали результата.
Пошарил немного по темам нашел файл Вложение 266060, благодаря чему смог запустить и сделать логи в AVZ -
Вложение 266058
Вложение 266059
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\PS3450LM.DLL','');
QuarantineFile('C:\WINDOWS\system32\ttjisl.exe','');
QuarantineFile('C:\WINDOWS\system32\3dac9526.exe','');
DeleteFile('C:\WINDOWS\system32\3dac9526.exe');
DeleteFile('C:\WINDOWS\system32\ttjisl.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- После этого выполните такой скрипт -
Код:
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
- Файл fystemRoot.log из папки с АВЗ прикрепите к следующему сообщению
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 50
Всё выполнил. AVZ теперь запускается без run.bat
Карантин отправил.
Логи:
Вложение 266074
Вложение 266075
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится vtybgpj7.exe(GMER) и запустите этот батник(1.bat):
Код:
vtybgpj7.exe -del service hxiiq
vtybgpj7.exe -del file "C:\WINDOWS\system32\qmgr.dll"
vtybgpj7.exe -del file "C:\WINDOWS\system32\itnspliq.dll"
vtybgpj7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hxiiq"
vtybgpj7.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hxiiq"
vtybgpj7.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 50
При выполнении батника было несколько ошибок:
1.
An error 0x00000002 occured during the deletion of file: "C:\WINDOWS\system32\itnspliq.dll": Не удается найти указанный файл.
2. (Не скопировал, но примерно такого содержания)
DeleteKey: Неверный параметр
Нажимал "Ок" (а кроме этого и крестика нажимать было нечего)
После перезагрузки сделал логи:
Вложение 266327
Вложение 266326
Вложение 266325
-
Junior Member
- Вес репутации
- 50
Настолько все плохо ? Или просто загрузка большая ?
-
Выполните скрипт в АВЗ -
Код:
begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RebootWindows(true);
end.
- Повторите лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 50
-
Everything is alright. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Все заработало!!!
Сайт авторизацию проходит.
Пароль копи-паститится.
Огромное спасибо за быструю и эффективную помощь!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ttjisl.exe - Trojan.Win32.Agent2.lol ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\3dac9526.exe - Backdoor.Win32.Shiz.vc ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
-