Flank Опубликовано 15 февраля, 2009 Жалоба Поделиться Опубликовано 15 февраля, 2009 Вчера началась такая фигня: через некоторое время после подключения к интеренту в диспетчере задач начинают появляться на непродолжительное время и исчезать процесс iexplorer.exe ( в приложениях он тоже отображается со значком EI и плюс написан всякий бред типо пластиковых труб, туров в Китай и лечения от паразитов и т д) при появлении процесса сворачиваются другие действующие в данный момент приложения что очень бесит т к происходит это достатно чтосто (иногода каждые 10 секунд) хотя и живет процесс не более 3-5 секунд. Сам браузер при этом не открывается и приложение это не возможно открыть. Сканировал диски различными анивирусами (nod 32/ doctorweb/ spyware/ cureit) - нифига не видят. Помогите чем можете. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 16 февраля, 2009 Жалоба Поделиться Опубликовано 16 февраля, 2009 >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME Вот это всё и может привести к тому результату который у вас. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);QuarantineFile('c:\windows\system32\winagent.exe','');DeleteFile('c:\windows\system32\winagent.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему. Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Flank Опубликовано 16 февраля, 2009 Автор Жалоба Поделиться Опубликовано 16 февраля, 2009 после выполнения первого скрипта в ''моем компьютере'' вместо оназвания директорий на верхней синей полоске вопросительные знаки либо только первая буква от названия. Тоже самое в диспетчере задач - название приложений либо ввиде вопросиков, либо только первая буква. Ссылка на комментарий Поделиться на другие сайты Поделиться
Flank Опубликовано 16 февраля, 2009 Автор Жалоба Поделиться Опубликовано 16 февраля, 2009 вот повторные логи Ссылка на комментарий Поделиться на другие сайты Поделиться
Flank Опубликовано 16 февраля, 2009 Автор Жалоба Поделиться Опубликовано 16 февраля, 2009 кстати сегодня утром при сканировании антивиркс обнаружил Threat Files <Trojan.Downloader.Agent.aunm.1> [Microsoft Corporation] : C:\WINDOWS\system32\~.exe до этого почему-то не обнаруживал... Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 февраля, 2009 Жалоба Поделиться Опубликовано 16 февраля, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Eraser\eraser.exe','');QuarantineFile('C:\PROGRA~1\Crawler\Toolbar\ctbr.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:Services:FilesE:\Shell\CB.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
Flank Опубликовано 18 февраля, 2009 Автор Жалоба Поделиться Опубликовано 18 февраля, 2009 а че это сделает? :) Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 февраля, 2009 Жалоба Поделиться Опубликовано 18 февраля, 2009 а че это сделает? Что именно? Ссылка на комментарий Поделиться на другие сайты Поделиться
Flank Опубликовано 18 февраля, 2009 Автор Жалоба Поделиться Опубликовано 18 февраля, 2009 я про последнюю рекомендацию. (кстати про первоначальную проблему - что это было все-таки?) Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 февраля, 2009 Жалоба Поделиться Опубликовано 18 февраля, 2009 Удаляет подозрительный файл и запись в реестре на автозапуск вредоносного файла. (кстати про первоначальную проблему - что это было все-таки?) Какой-то вредонос, разрешил исполнение >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME Понятно, что на многих сайтах стоят IFRAME, вот вы зашли сработал IFRAME и пошло соединение с другим сайтом. Скриптом это всё закрыли. Ссылка на комментарий Поделиться на другие сайты Поделиться
Flank Опубликовано 19 февраля, 2009 Автор Жалоба Поделиться Опубликовано 19 февраля, 2009 а еще вопрос был вы не отвеитили - Дата 16.02.2009, 14:28 после выполнения первого скрипта в ''моем компьютере'' вместо оназвания директорий на верхней синей полоске вопросительные знаки либо только первая буква от названия. Тоже самое в диспетчере задач - название приложений либо ввиде вопросиков, либо только первая буква. Ссылка на комментарий Поделиться на другие сайты Поделиться
Flank Опубликовано 19 февраля, 2009 Автор Жалоба Поделиться Опубликовано 19 февраля, 2009 ========== PROCESSES ========== Process explorer.exe killed successfully. ========== SERVICES/DRIVERS ========== ========== FILES ========== File move failed. E:\Shell\CB.exe scheduled to be moved on reboot. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E\\ deleted successfully. ========== COMMANDS ========== User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. Local Service Temporary Internet Files folder emptied. Windows Temp folder emptied. FireFox cache emptied. Temp folders emptied. Explorer started successfully OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02192009_143137 Files moved on Reboot... File move failed. E:\Shell\CB.exe scheduled to be moved on reboot. File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 19 февраля, 2009 Жалоба Поделиться Опубликовано 19 февраля, 2009 (изменено) а еще вопрос был вы не отвеитили - Дата 16.02.2009, 14:28 после выполнения первого скрипта в ''моем компьютере'' вместо оназвания директорий на верхней синей полоске вопросительные знаки либо только первая буква от названия. Тоже самое в диспетчере задач - название приложений либо ввиде вопросиков, либо только первая буква. c:\windows\system32\winagent.exe - Trojan.Win32.Agent.bqsh Кроме файла, были только исправлены проблемы с ИЕ. больше ничего не делалось. Хотите восстановите врага. Изменено 19 февраля, 2009 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
Flank Опубликовано 20 февраля, 2009 Автор Жалоба Поделиться Опубликовано 20 февраля, 2009 Ладно спасибо за помощь - теперь буду знать куда обращаться) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти