[решено] 2 процесса IEXPLORE.EXE в памяти

Pili · Отправлено: **09:29, 05-11-2008** | #2

Цитата:

Восстановление системы: включено

Отключите.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и отключите интернет.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\docume~1\aed9~1\applic~1\grimmf~1\FLAW BUILD CORN.exe','');
 QuarantineFile('C:\WINDOWS\ASScrProlog.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\beep axis mode free\tool way.exe','');
 QuarantineFile('C:\DOCUME~1\AED9~1\APPLIC~1\GRIMMF~1\Size Slow.exe','');
 QuarantineFile('C:\WINDOWS\system32\DSA.dll','');
 QuarantineFile('c:\program files\p4p\p4p.exe','');
 QuarantineFile('c:\windows\asscrpro.exe','');
 DeleteFile('C:\DOCUME~1\AED9~1\APPLIC~1\GRIMMF~1\Size Slow.exe');
 DeleteFile('c:\docume~1\aed9~1\applic~1\grimmf~1\FLAW BUILD CORN.exe');
 DeleteFile('C:\WINDOWS\Tasks\A23C0A30907FB24C.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O

Код:

2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [2audio] C:\DOCUME~1\AED9~1\APPLIC~1\GRIMMF~1\Size Slow.exe
O9 - Extra button: The Weather Channel - {2E5E800E-6AC0-411E-940A-369530A35E43} - (no file)
O9 - Extra 'Tools' menuitem: The Weather Channel - {2E5E800E-6AC0-411E-940A-369530A35E43} - (no file)

Повторите логи.

DragonLove · Отправлено: **13:45, 05-11-2008** | #3

Новые логи .... проблема осталась

Pili · Отправлено: **15:12, 05-11-2008** | #4

DragonLove, выполните скрипт

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\TwcToolbarIe7.dll','');
 QuarantineFile('C:\Program Files\RadarSync\tbRada.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ousb2hub.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ousbehci.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipswuio.sys','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\beep axis mode free\tool way.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ClearHostsFile;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
некоторые файлы по предыдущему карантину ушли в вирлаб на доп.анализ
Повторите логи virusinfo_syscheck.zip и hijackthis

DragonLove · Отправлено: **16:10, 05-11-2008** | #5

продолжение ..... IE вроде перестал появляться

Pili · Отправлено: **16:48, 05-11-2008** | #6

DragonLove, файлы из 2-го карантина чистые, подождем ответа вирлаба по некоторым файлам из 1-го карантина
Вместо IE рекомендую пользоваться Firefox c плагином NoScript и AdBlock Plus
Пока можете провериться с помощью Malwarebytes' Anti-Malware, скачайте MBAM, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

DragonLove · Отправлено: **19:05, 05-11-2008** | #7

Код:

Malwarebytes' Anti-Malware 1.30  Версия базы данных: 1368  Windows 5.1.2600 Service Pack 2    05.11.2008 18:57:52  mbam-log-2008-11-05 (18-57-52).txt    Тип проверки: Полная (C:\|D:\|)  Проверено объектов: 76376  Прошло времени: 20 minute(s), 54 second(s)    Заражено процессов в памяти: 0  Заражено модулей в памяти: 0  Заражено ключей реестра: 0  Заражено значений реестра: 0  Заражено параметров реестра: 0  Заражено папок: 0  Заражено файлов: 0    Заражено процессов в памяти:  (Вредоносные программы не обнаружены)    Заражено модулей в памяти:  (Вредоносные программы не обнаружены)    Заражено ключей реестра:  (Вредоносные программы не обнаружены)    Заражено значений реестра:  (Вредоносные программы не обнаружены)    Заражено параметров реестра:  (Вредоносные программы не обнаружены)    Заражено папок:  (Вредоносные программы не обнаружены)    Заражено файлов:  (Вредоносные программы не обнаружены)

Только все равно сейчас странности ... При запуске системы IE автоматом выдает кучу ошибок сценариев и оутпост блочит попытку изменения процесса IEXPLORE.EXE

Код:

13:23:39	TOOL WAY.EXE	Заблокировано	Приложение пытается изменить память другого приложения.	Процесс: TOOL WAY.EXE, Целевой процесс: IEXPLORE.EXE

Pili · Отправлено: **20:59, 05-11-2008** | #8

DragonLove, очень странно, C:\Documents and Settings\All Users\Application Data\beep axis mode free\tool way.exe удален скриптом и по новым логам его не было, вы снова какую нибудь программу после посл. логов не ставили? Сделайте ещё раз лог virusinfo_syscheck.zip
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.
Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt t и прикрепите к сообщению

Ego1st · Отправлено: **21:49, 05-11-2008** | #9

попробуйте отключить из автозагрузки
программу The Weather Channel FW

я бы еще этот файлик посмотрел C:\WINDOWS\system32\DSA.dll

DragonLove · Отправлено: **22:38, 05-11-2008** | #10

Tool way.exe нашел по адресу C:\WINDOWS\Prefetch\TOOL WAY.EXE-026C5A9A.pf
Создан третьего , изменен пятого ноября.... Сейчас выполню вышесказанное.

Ego1st, куда отправить DSA.dll ?