-
Junior Member
- Вес репутации
- 62
ещё проблемы с iexplore.exe
Всё началось с того, что не мог установить некоторые программы ( в процессе установки выпадает сообщение "Закройте программу IE и продолжайте процесс установки" или "установка не может продолжатся, завершите процесс iexplore.exe").
Закрыть процесс (iexplore.exe) через диспетчер не получается (сразу после закрытия процесс снова запускается или просто не останавливается).
В остальном система (XP SP2, комп в малой офисной сетке) вроде-бы работает нормально.
Вычитал, что возможно это троян.
Помогите.
Последний раз редактировалось ig473; 07.05.2007 в 16:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('C:\WINDOWS\system32\ACTUAL~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
RebootWindows(false);
end.
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
-
-
Junior Member
- Вес репутации
- 62
Вроде-бы все выполнил, но архив получился 566 Кб.
Наверное за один раз не загрузится, поэтому отправлю двумя сообщениями.
Вот первый архив.
А второй получается смогу отправить после просмотра Вами 1-го архива и его последующего удаления с сервера, да?
Последний раз редактировалось anton_dr; 07.05.2007 в 17:07.
-
Уберите карантин из сообщения! Файлы загружать по ссылке
Прислать запрошенные файлы !
-
-
Файл сохранён как/td> 070507_170855_virus_463f24e70a8fe.zip
Размер файла 220997
MD5 7cbec393debabaee06a510dc05d0d425
-
-
Junior Member
- Вес репутации
- 62
Извините.
На всякий случай повторю логи AVZ и HijackThis.
Пока писал предыдущий пост пришел ещё ответ (медленный я).
anton_dr , объясните "чайнику", т.е. мне, что значит Ваш ответ.
Последний раз редактировалось ig473; 19.09.2007 в 18:18.
-
Это сообщение адресовано не Вам.
А кто Вам сказал, что нужно повторить логи?
-
-
Это значит, что я загрузил запрошенные файлы по правилам, через ссылку http://virusinfo.info/upload_virus.php?tid=9539
По ней же вы должны загрузить вторую часть карантина.
Сообщение от
ig473
Извините.
На всякий случай повторю логи AVZ и HijackThis.
Ваши логи бесполезны, потому как лечение еще не начиналось.
-
-
Последний присланный карантин - полный. Из того, что прислали, однозначно детектится C:\Documents and Settings\All Users\Документы\Settings\arm32.dll - Trojan.Win32.Agent.oh.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Orbitdownloader\orbitcth.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена, после перезагрузки, пришлите содержимое карантина AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=9539 , как написано в прил. 3 правил.
-
-
Junior Member
- Вес репутации
- 62
После рекомендаций и внимательного прочтения правил по ссылке отправил весь карантин (нечего не разбивая).
А логи повторил так-как сам их удалил с первого поста.
Ещё раз приношу извинения за не внимательное прочтение правил (чем сам себя запутал).
-
orbitcth.dll по Virustotal чистый
После скрипта от Numb проблема решилась?
Можно еще пофиксить в HijackThis:
Код:
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
-
-
Junior Member
- Вес репутации
- 62
Да, проблема решилась.
Всем огромное спасибо.
Можно закрыть тему.
-
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось ig473; 19.09.2007 в 18:18.
-
Хорошо. Вот это только пофиксите и всё:
Код:
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
-
-
Junior Member
- Вес репутации
- 62
Профиксил.
Спасибо всем кто помог в решении проблемы.
-
У нас ещё есть winlogon.exe, который судя по всему патченый. Так как ответ из вир. лаба так и не пришел, я отправил им файл повторно. Ждем результатов анализа.
-
-
Junior Member
- Вес репутации
- 62
-
А вот и ответ
Здравствуйте.
В присланном Вами файле не найдено ничего вредоносного.
---------
-
-
Junior Member
- Вес репутации
- 62
УРА!
Огромное всем СПАСИБО