Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не запускаются браузера после скачивания сомнительного файла (http://forum.oszone.net/showthread.php?t=240282)

Sande 09-08-2012 16:23 1967475
Не запускаются браузера после скачивания сомнительного файла
 
Вложений: 2
После скачивания файла перезагрузился компьютер и перестали запускаться все браузера а именно : Opera , Chrome, IE, Mozilla
Помогите Пожалуйста !!!

alex_sev 09-08-2012 16:33 1967481
Зачем запускаете Combofix?

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\ecdmzoh.dll','');
 QuarantineFile('C:\Windows\system32\623B.tmp','');
 DeleteFile('C:\Windows\system32\ecdmzoh.dll');
 DeleteFile('C:\Windows\system32\623B.tmp');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{84FF7BD6-B47F-46F8-9130-01B2696B36CB}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Третье:

Подготовьте лог OTL by OldTimer

Четвертое:
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

Sande 09-08-2012 16:58 1967501
Когда я пытаюсь запустить Malwarebytes' Anti-Malware выскакивает вот такое чудо Runtime error 216 at 7743E7EB даже после перезапуска компьютера

alex_sev 09-08-2012 17:08 1967506
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Затем пробуйте переустановить MBAM

Sande 09-08-2012 17:26 1967510
Не помогло

alex_sev 09-08-2012 17:28 1967512
Продолжайте дальше пропустите сканирование

Sande 09-08-2012 17:32 1967518
также SecurityCheck by screen317 отказывается устанавливаться без всяких ошибок Windows 7 запускал от имени администратора

alex_sev 09-08-2012 17:34 1967520
OTL?

Sande 09-08-2012 17:35 1967521
OTL работает

alex_sev 09-08-2012 17:35 1967522
Жду

Sande 09-08-2012 17:49 1967531
вот слишком много весило

alex_sev 09-08-2012 17:54 1967535
Где?

Sande 09-08-2012 17:54 1967536
Вложений: 2
Так можна?

alex_sev 09-08-2012 18:04 1967539
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes

    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    IE - HKU\S-1-5-21-1282233566-2207137430-3050883143-1004\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=a0653c30-6060-4f63-8f82-9d28d2bfd03e&lcid=1058&ref=toolbox&q={searchTerms}
    IE - HKU\S-1-5-21-1282233566-2207137430-3050883143-1004\..\SearchScopes\{F857121E-A9E5-4fb4-8C54-C2851C5F22C9}: "URL" = http://search.ticno.com/?c=t&q={searchTerms}
    FF - prefs.js..browser.search.selectedEngine: "РџРѕРёСЃРє"
    FF - prefs.js..keyword.URL: "http://search.ticno.com/?c=t&q="
    CHR - homepage: http://start.ticno.com
    CHR - homepage: http://start.ticno.com
    O3 - HKU\S-1-5-21-1282233566-2207137430-3050883143-1004\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
    O4 - HKU\S-1-5-21-1282233566-2207137430-3050883143-1004..\Run: [c9d73611b0f8b03c2b6698c5826752912ae6] iexplore.exe File not found
    O4 - HKU\S-1-5-21-1282233566-2207137430-3050883143-1004..\Run: [Clownfish]  File not found
    [2012.08.09 15:24:39 | 000,000,000 | R--D | C] -- C:\32788R22FWJFW
    [2012.08.09 15:09:55 | 000,002,520 | ---- | M] () -- C:\ProgramData\cf
    @Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:10D14739
    @Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:A064CECC
    @Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:41ADDB8A
    @Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:BF14D50A
    :Services

    :Files

    autorun.inf /alldrives
    recycler /alldrives
    ipconfig /flushdns /c
    :Reg

    :Commands
    [EMPTYJAVA]
    [EMPTYFLASH]
    [purity]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Sande 09-08-2012 18:36 1967556
После перезагрузки "C:\_OTL\MovedFiles" тут ничего не появилось кроме пустых папок ! но теперь каждые 20 секунд "Проводник не отвечает"

Sande 09-08-2012 18:52 1967564
И перестал работать торрент , скайп , гарена !
Exception EAccessViolatiom in module ntdll.dll at 0002f963 .
Access violation address 76F7F63 in module 'ntdll.dll . Write of address 00000014
Вот такая проблема

Sande 09-08-2012 20:20 1967603
Я так понимаю что мне не помогут?

alex_sev 09-08-2012 21:27 1967656
Почему же не поможем - поможем, рабочий день кончился все в пути.

Сделайте повторные логи AVZ + RSIT


Время: 01:04.

Время: 01:04.
© OSzone.net 2001-