Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Сбои в работе IE, нет доступа к некоторым сайтам, в т.ч. антивирусным (http://forum.oszone.net/showthread.php?t=179888)

Tatik1997 05-07-2010 18:59 1447738
Сбои в работе IE, нет доступа к некоторым сайтам, в т.ч. антивирусным
 
Вложений: 1
Здравствуйте. Такая же проблема была неделю назад... Еще нет доступа к некоторым временным файлам, нет возможности их удалить.

Drongo 05-07-2010 19:39 1447772
Tatik1997, Привет.

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ef51351e.exe,\\?\globalroot\systemroot\system32\bELKIhK.exe,
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\ef51351e.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\belkihk.exe','');
 DeleteFile('c:\windows\system32\ef51351e.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\belkihk.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Повторите лог AVZ.

Что с проблемой после выполнения скрипта?

Tatik1997 06-07-2010 16:05 1448360
Вложений: 2
  • info.txt (12.30 KB, скачиваний: 15)
  • log.txt (17.20 KB, скачиваний: 15)
Вот информация, полученная по отправленному карантину:

"belkihk.exe - Backdoor.Win32.Shiz.jl

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

ef51351e.exe

Файл в процессе обработки".

Прикрепляю новые логи.

Доступ к сайтам после выполнения скрипта в avz появился.

Существует еще одна проблема с IE. Периодически автоматически начинают отрываться окна с ссылкой на файл из папки system32 с расширением dll.

Drongo 06-07-2010 18:46 1448493
Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


• Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\YqJrf2N.exe
C:\WINDOWS\system32\R8qQvGw.exe
C:\WINDOWS\system32\VgPasnd.exe
C:\WINDOWS\system32\90apepk.exe
C:\Program Files\Common Files\keylog.txt

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Tatik1997 07-07-2010 17:16 1449091
Не удается удалить все временные файлы.

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\YqJrf2N.exe moved successfully.
C:\WINDOWS\system32\R8qQvGw.exe moved successfully.
C:\WINDOWS\system32\VgPasnd.exe moved successfully.
C:\WINDOWS\system32\90apepk.exe moved successfully.
C:\Program Files\Common Files\keylog.txt moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Toma
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 18619669 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 19061 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33224 bytes
RecycleBin emptied: 16384 bytes

Total Files Cleaned = 18,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 07072010_210500

Files moved on Reboot...
C:\Documents and Settings\Toma\Local Settings\Temporary Internet Files\Content.IE5\SPEN8P6R\index[1].htm moved successfully.
C:\Documents and Settings\Toma\Local Settings\Temporary Internet Files\Content.IE5\LCKBHP0L\erle[2].htm moved successfully.
C:\Documents and Settings\Toma\Local Settings\Temporary Internet Files\Content.IE5\7FHFF18W\showthread[1].htm moved successfully.

Drongo 07-07-2010 18:56 1449155
Tatik1997, Ну что ж, если проблемы решены. Запустите ещё раз OTMoveIt! нажмите кнопку CleanUp! и перезагрузите компьютер.

Tatik1997 07-07-2010 19:04 1449158
Пока вроде решена, только надолго ли... Подозрительные временные файлы все же остались на компьютере.

Drongo 07-07-2010 20:01 1449197
Ничего страшного. Это временные файлы, удалите в другой раз. Это не критично.

Отмечайте тему решённой.


Время: 16:51.

Время: 16:51.
© OSzone.net 2001-