Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не работает Internet Explorer (http://forum.oszone.net/showthread.php?t=154197)

paulkorotoon 23-10-2009 22:40 1250802
Не работает Internet Explorer
 
Не работает Internet Explorer. С каких пор, точно сказать не могу, т.к. пользуюсь им нечасто.
Файерволл показывает, что при запуске IE обращается по UDP к адресу 127.0.0.1 - это ведь не есть нормально?
Лог HiJackThis прилагаю.
Пытался разобраться сам, но в этом деле совсем в себе не уверен. Предположил, что проблема в этом:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B735D9BF-D1C0-48F1-B868-005BF1277932}: NameServer = 91.211.16.1 91.211.16.1
, но фиксить без совета специалистов боюсь :) .

iskander-k 23-10-2009 22:51 1250815
Paul-SFL, Нужны ещё логи АВЗ. Выложите логи в соответствии с этими инструкциями.

paulkorotoon 24-10-2009 00:14 1250881
Логи сделал. Второй скрипт выполнился со второй попытки: в первый раз вылез BSOD.

thyrex 24-10-2009 00:45 1250913
Перед выполнением скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O20 - AppInit_DLLs:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\w_w124.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sdpiosys.sys','');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\rmqac.sys','');
 DeleteService('rmqac');
 DeleteService('graspptp');
 DeleteService('jwpdusb');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\mtunmp.sys','');
 DeleteService('mtunmp');
 QuarantineFile('C:\WINDOWS\system32\226.tmp','');
 DeleteService('MEMSWEEP2');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\jwpdusb.sys','');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\graspptp.sys','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 DeleteService('bcowzxywo');
 QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll','');
 DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\system32\226.tmp');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\mtunmp.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\jwpdusb.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\graspptp.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\rmqac.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\w_w124.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Выполнить дополнительно
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

paulkorotoon 24-10-2009 13:06 1251155
Сделал новые логи.
P.S. Снова выскочил BSOD, после выполнения скриптов в AVZ и подготовки лога HJT, через пару секунд после закрытия последнего. Дампы на рассмотрение стоит выложить? Или ничего серьезного?

thyrex 24-10-2009 17:30 1251340
Сохраните текст ниже как cleanup.bat в ту же папку, где находится v3mkg7j9.exe (gmer)
Код:
v3mkg7j9.exe -del service dliodohse
v3mkg7j9.exe -del service gasirpzc
v3mkg7j9.exe -del service gbicf
v3mkg7j9.exe -del service mbeldvj
v3mkg7j9.exe -del file "C:\WINDOWS\system32\vhwzgazn.dll"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasirpzc"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet014\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet014\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet014\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet015\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet015\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet015\Services\mbeldvj"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\dliodohse"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\gasirpzc"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\gbicf"
v3mkg7j9.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\mbeldvj"
v3mkg7j9.exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Плюс ответьте на вопрос: зачем Вам два файрволла - Online Armor и Comodo?

paulkorotoon 24-10-2009 20:40 1251482
Ответ от Лаборатории Касперского:
"Здравствуйте,
DefaultSearch.dll
Вредоносный код в файле не обнаружен.
Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений."
Насчет файерволлов: у меня только ОА стоит, от COMODO ошметки остались просто.. :unsure: Экспериментировал когда-то с совмещением двух брандмауэров :) ..

thyrex 24-10-2009 20:48 1251485
Выполняйте скрипт для gmer и сделайте новый лог

paulkorotoon 24-10-2009 21:29 1251505
Сделал.
При выполнении скрипта было несколько ошибок, насколько я понял, отсутствовали некоторые файлы и ключи реестра. Не страшно?

thyrex 24-10-2009 21:42 1251516
В логе чисто. Изменения в работе IE есть?

Если не изменилось, проверьте, не отмечен ли пункт Работать автономно в меню Файл

paulkorotoon 24-10-2009 22:04 1251534
Та-ак.. Боюсь, что виноваты были больше мои руки :sorry: .. Поначалу IE не работал (было написано, что открывает страницу, но ничего не открывалось и полоса загрузки висела), потом я зашел в Мастер очистки дисков и переустановил (а может, скорее, установил...) его.. И он заработал.. Спасибо всем большое за помощь..


Время: 23:35.

Время: 23:35.
© OSzone.net 2001-