Показано с 1 по 10 из 10.

Вирус ".exe" (заявка № 12466)

  1. #1
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    4
    Вес репутации
    34

    Exclamation Вирус ".exe"

    Симптомы заражения:
    1. Не включить отображение скрытых файлов и папок любым известным стандартным способом (помогло только regsvr32 /i shell32.dll )
    !!! После их отображения - на каждом логическом диске и в с:\system32 обнаружен скрытый файл ".exe" и autorun-ы
    2. В Диспечере задач Windows - несколько загруженных .exe
    3. Заражает флэшки
    4. Не дает запустить ни один известный антивирус. NOD32 после переименования запускаемого файла - запустился.
    Предпринятые Действия:
    Были удалены все вышеописанные скрытые ".ехе" (и autorun-ы, естественно). Однако ни один антивирус так и не удается запустить обычным способом.
    Насколько я понимаю, сама вирусня удалена. Но где-то прописана и загружается какая-то ерунда, которая блокирует запуск всех антивирусов..

    Чё делать?..
    ..шлю необходимые файлы..
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Заражения не видно. Можно попробовать вот такой скрипт:
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(8);
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    сообщите, что из этого используется:
    Код:
    Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Остальное надо закрыть, помогу
    P.S.диск с ХP имеется ?

  4. #3
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    4
    Вес репутации
    34
    Drongo, спасибо за консультацию! Видимо, только Вы и знаете, что делать (всего лишь один ответ..). Все Ваши рекомендации смогу проделать только в понедельник в силу обстоятельств.
    Но на вопросы ответить могу сейчас.
    1. Дистрибутив XP имеется
    2. Службы:
    перечисленные службы не нужны.
    3. Службы - Безопасность:
    - пусть будут все три (область применения ПК - домашний, дома организована локалка на три компа)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Мне приятно, но это не так . На спасибо надо нажимать
    Вернёмся к больному , скрипт выполнили ? что-то изменилось ?

    Предлагаю такой план:
    Восстановление ХП , вот довольно подробно описано.:
    http://www.michaelstevenstech.com/XPrepairinstall.htm

    В общих словах :
    Нужно загрузиться с компакт-диска с дистрибутивом ХР (обязательно должен быть тот же сервис пак, что установлен). Нажать установку новой копии (Enter), и выбрать раздел, в котором уже стоит винда. И вот тогда будет предложено затереть уже установленную копию или установить в режиме восстановления.Выбрать "установить в режиме восстановления"


    Цитата Сообщение от navyvolk Посмотреть сообщение
    перечисленные службы не нужны.
    Код:
    begin
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RDSessMgr', 4);
    RebootWindows(true);
    end.
    Последний раз редактировалось drongo; 17.09.2007 в 22:52.

  6. #5
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    4
    Вес репутации
    34
    мда..
    после выполнения первого скрипта (не того, который закрывает службы), ничего не произошло, а именно, AVP устанавливаться и работать не начал.
    По совету начал восстановление Windows.
    как написано на сайте по ссылке.
    В итоге... синий экран STOP 0x0000007e (0xc0000005, 0x804F162C, 0xF78E2A8C, 0xF78E278

    понятно, что теперь с этой проблемой на этом форуме делать нечего..
    жаль Wind-у...

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    сделайте лог как написано здесь

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Есть предложение провериться загрузившись с СД Cure-it beta. Лучше не экспресс-проверку, а полную.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    4
    Вес репутации
    34
    V_Bond:
    в Safe Mode не выйти, т.к. не закончена установка Windows! (прошло копирование в "режиме восстановления" файлов в DOS интерфесе, перезагрузка, Windows-интерфейс, доходит до 34%, перезагрузка и опять установка Windows 39%).. Спасибо за рекомендацию!!

    PavelA:
    где-нибудь есть образ этого загрузочного Cure-it?
    на drweb только сама программа. (можно, конечно, и самому поколдовать над загрузочным диском, но, тем неменее..)

    В любом случае, исходя из сложившейся ситуации, скорее всего поможет только полная переустановка W.
    Но проверить всё Cure-It или AVP после переустановки считаю крайне необходимо. Так?

    Поскольку жизнь начнется "с нуля", тему можно было бы и закрыть. НО!
    Уважаемые эксперты! Во-первых, спасибо всем, кто откликнулся!
    во 2-х:
    А всё же!!!
    если, как в моем случае, найдено тело вируса и уничтожено, но остались последствия => не устанавливается и не работает ни один антивирус!
    Можно ли сказать наверняка: в каких настройках произошли изменения, что не дает антивирусникам правильно работать (понятно, что так называемое противоядие, которое реагирует на все известные исполняемые файлы известных антивирусов). Так где оно может сидеть??

    Буду признателен всем за размышления.
    Как уже сказал, испытуемый комп, ради которого затевался этот разговор, уже возвращен к первообразу
    Интересно знать на будущее: не запускается/ устанавливается антивирус - сносить Windows сразу или нет ))))

    Еще раз всем спасибо за помощь!! VIRUSINFO - 4ever!!

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Что именно поломалось трудно сказать
    Намного легче предпринимать меры чтобы не заражаться, а именно:
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Есть разные варианты борьбы с антивирусами: троян в ядре, троян в автозапуске плюс все это спрятанно руткитом.

    Если нет Live-CD есть вариант снять винчестер и проверить на другой, заведомо чистой машине.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) navyvolk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 2
      Последнее сообщение: 25.06.2011, 16:40
    3. Ответов: 12
      Последнее сообщение: 16.06.2011, 11:15
    4. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00002 seconds with 22 queries