Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не запускается Internet Explorer, последствия гульфия.exe? (http://forum.oszone.net/showthread.php?t=200000)

A_kitten 20-02-2011 12:23 1617518
Не запускается Internet Explorer, последствия гульфия.exe?
 
День добрый!
Думаю, что это последствия гульфия.exe, а может и еще чего, НО Не запускается Internet Explorer. Предварительно Internet Explorer обновила до 8-ой версии.
Дает сообщение, что "Обнаружена ошибка, Приложение будет закрыто. Присоним извинения за неудобства."
Правила выполнила, Протоколы прилагаю, Утилита DrWeb-a Curelt показала протоколы по 0. Ничего не обнаружила. Спасибо.ду рекомендаций.

goredey 20-02-2011 13:01 1617545
A_kitten, привет

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxf41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxf30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuc41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winov30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmt63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmt41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winip30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn52.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfm17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winel85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winel17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winek41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winci41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winci06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi30.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winag28.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\tqsprwop.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\tqsprwop.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winag28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbi06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbi30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winci06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winci41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windj28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winek41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winel17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfm17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhn52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winip30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmt41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmt63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winov30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuc41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvc41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwd06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxf30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxf41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyf63.sys');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteService('Winyf63');
 DeleteService('Winxf41');
 DeleteService('Winxf30');
 DeleteService('Winwd06');
 DeleteService('Winvc41');
 DeleteService('Winuc41');
 DeleteService('Winov30');
 DeleteService('Winmt63');
 DeleteService('Winmt41');
 DeleteService('Winjp85');
 DeleteService('Winjp74');
 DeleteService('Winip30');
 DeleteService('Winhn52');
 DeleteService('Winfm17');
 DeleteService('Winel85');
 DeleteService('Winel17');
 DeleteService('Winek41');
 DeleteService('Windj28');
 DeleteService('Winci41');
 DeleteService('Winci06');
 DeleteService('Winbi06');
 DeleteService('Winag28');
 DeleteService('tqsprwop');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме


Пвторите логи
+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Обзательно смените все свои пароли!!!

A_kitten 26-02-2011 18:34 1622487
День добрый! Спасибо за ответ. Извините за задержку, но комп не в моей собственности, и вижу его раз в неделю. Но проблема никуда не делась, выполняю все ваши инструкции, только извините, что на связь буду выходить не регулярно, а по возможности.
п.1 - Выполнила.
п.2 - Выполнила, карантинные файлы по ссыдке отправила.
п.3 - Логи прилагаю.
п.4 - Выполнила + Логи прилагаю.
п.5 - Это сложнее. а. - не скачалось оновление, ссылка приведенная в ответе не работает (качала с другого компа).
б. - Malwarebytes' Anti-Malware - запустилось и работает, но сверху вывалилось окно о том, что "Извините приложенеи сообщило об ошибке, не может быть выполнено и будет закрыто". Пока Malwarebytes' Anti-Malware работает, но не факт, что мне удасться сохранить логи.
п.6 - Выполнила.
Отправляю протоколы, которые удалось получить. Спасибо еще раз. Жду ваших рекомендаций.

A_kitten 26-02-2011 19:13 1622507
Добавляю протоколы Malwarebytes' Anti-Malware.

thyrex 27-02-2011 00:39 1622722
Запустите МВАМ
После сканирования - Ok - Show Results (показать результаты)
Отметьте указанные ниже пункты
Код:
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.

Заражённые папки:
c:\documents and settings\localservice\application data\twain_32 (Trojan.Zbot) -> No action taken.
c:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.

Заражённые файлы:
c:\documents and settings\all users\application data\srtserv\set.dat (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\delself.bat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\application data\twain_32\user.ds (Trojan.Zbot) -> No action taken.
c:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.
Нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и прикрепите к сообщению

A_kitten 28-02-2011 06:20 1623399
День добрый!
Пыталась выполнить "Запустите МВАМ"
- запустилось и работает, но сверху вывалилось окно о том, что "Извините приложенеи сообщило об ошибке, не может быть выполнено и будет закрыто".

"Нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете"
- выделила и нажала, но проограмма зависла на 2 часа, результатов нет.

A_kitten 28-02-2011 08:11 1623425
Посоветуйте что-нибудь еще. Систему не хочется переустанавливать, хотя чувствую, что это было бы проще.

A_kitten 28-02-2011 14:47 1623699
СЕГОДНЯ ЕЩЕ раз запустила МВАМ.
- запустилось и работает, но сверху вывалилось окно о том, что "Извините приложенеи сообщило об ошибке, не может быть выполнено и будет закрыто".

"Нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете"
- выделила ТОЛЬКО 2 ОБЪЕКТА, а не все 9 как предлогалось, и нажала "Удалить выделенные", но программа СНОВА зависла на 2 часа, результатов нет.

SolarSpark 28-02-2011 14:50 1623702
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

A_kitten 28-02-2011 14:59 1623710
А можно вручную удалить то, что находит утилита МВАМ?

SolarSpark 28-02-2011 15:01 1623711
да, конечно..пути написаны в логе


Время: 04:21.

Время: 04:21.
© OSzone.net 2001-