Привет спасатели! У меня уже второй к вам запрос о помощи. Помогите пожалуйста победить вирус semo2x.exe.
Я пишу из "безопасного режима с поддержкой сетевых драйверов", по-другому просто никак. Об этом ниже.
Вначале я немного расскажу, как я его подцепил.
С диска друга я установил программу - Photo DVD (для записи фотографий, музыки на диск). После установки программы я обнаружил, что COMODO (у меня антивирус и firewall от COMODO) справшивает меня, что internet explorer (хотя я пользуюсь Оперой) пытается подключиться к semo2x.exe. Я как-то особого значения не предал этому, был уверен, что файл semo2x.exe относится к программе Photo DVD. Я нажал "allow", то есть разрешил это действие, и дальше пошло-поехало. Это сообщение возникало много раз, что мол semo2x.exe пытается изменить и sys-файлы и много чего еще... Но, как я уже говорил, я думал, что это надо для корректного запуска программы (после "кряка").
Теперь о последствиях.
В результате я не могу открыть диски мои жесткие диски C, D, G. (С и D - просто поделены на 2 диска, а так у меня два "харда".) Диск G вообще воспринимается как файл. И вообще совершть какое-либо действие я не могу, ни открыть программу, не просмотреть картинку.Также отсутсвует возможность показа скрытых файлов и папок. В нормальном режиме работает только папка "Мои документы", но из нее выйти куда-то все равно нельзя. Хорошо, что друг посоветовал зайти в "безопасный режим", потому что я уже думал, что всё уже - придется только стирать диски. В "безопасном режиме" я удалил 4 файла semo2x.exe из папки C/:Windows/refetch.
Кстати, саму программу Photo DVD я успел удалить, когда еще был даже в нормальном режиме, когда вирус не успел "сожрать" всё и вся. Так что помогите пожалуйста! Я теперь знаю, что делать, так как это моё второе к вам обращение, и прикрепляю к вам мои фалы с логами от AVZ и HijackThis. В "безопасном режиме" все работает.
Восстановление системы отключено, логи отослал с включенной сетью, Opera и работающим firewall COMODO. (Потому что сеть отключить никак, только после перезагрузки, Антивирус не работает, выдает ошибку, наверняка из-за semo2x.exe)
P.S. В результате проверки диска программой AVZ было удалено много вирусов-троянов, связанных с semo2x.exe, что не может меня не радовать. Кое-что было перемещено в карантин
В AVZ при создании скрипта стояла галочка только у диска C. У диска D и G галочка по-умолчанию не стояла.
Последний раз редактировалось JUNKMAN; 20.07.2008 в 19:39.
Причина: дополнение информации
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пока что результаты неутешительные (после первой проверки, что я вам прислал). В нормальном режиме ничего не работает, никакие программы, но зато открываются жесткие диски. Также я забыл сообщить о том, что в панели быстрого запуска (где показаны часы Windows) пропали все значки программ, загружаемых с Windows, включая настройку громкости звука, COMODO и т.п. Это тоже вызвано вирусом. Присылаю вам карантин, сейчас пока перезагружусь в безопасном режиме без поддержки сетевых устройств, чтобы выключить firewall COMODO и сделать новые логи.
Также забыл добавить, что у меня не работают выключение компьютера и перезагрузка компьютера в нормальном режиме Windows из меню Пуск. При запуске какой-либо программы у меня пишут, что я якобы не имею прав на совершение этого действия.
Последний раз редактировалось JUNKMAN; 20.07.2008 в 19:38.
Причина: дополнение информации
Скидываю три лога + новый карантин.
Как бы мне восстановить запуск всех программ в нормальном режиме?
Может в HijackThis нажать "fix" после сканирования? В безопасном режиме опять не запускается COMODO antivirus (firewall запускается нормально). При запуске антивируса COMODO выдает такую ошибку: Number CAV003 / On Access Scanner failed to start. В AVZ про semo2x.exe уже ничего не упоминалось, значит удалено, было только опять подозрение на троян в программе DivX. Действительно ли там троян? И что же мне делать дальше?
P.S. Сейчас попозже вышлю скрипт сбора информации, что-то я не тот скрипт прислал..
Последний раз редактировалось kps; 20.07.2008 в 21:07.
Причина: удалил карантин
Сейчас я нахожусь опять в безопасном режиме. Присылаю карантин.
Попробовал опять запустить Windows в обычном режиме, "Мой компьютер" открывавается, открываются диски C, D, G. Но, все остальное не работает, включая просмотр свойств "Моего компьютера", Ни запуск COMODO firewall, ни другой exe-программы. И с включением-выключением компьютера опять та же ошибка.
P.S. Самое интересное, что еще и подключение к Локальной сети никак не отключить, эта функция просто не работает.
D:\Program Files\ThreatFire\TFService.exe - вот это попробуй деинсталлировать.
Слишком много защиты обнаружилось: БитДефендер, Сомодо, ТреатФайр, Jetico Personal Firewall Network Monitor.
В этом деле надо навести порядок.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Так-то TheatFire у меня удален. В Program files просто остались его "остатки". Я удалил папку из D с ThreatFire. BitDefender я скачал из интернета на рабочий стол (вчера в безопасном режиме), потом думаю его установить вместо COMODO AntiVirus. COMODO AntiVirus я удалил, на данный момент из антивирусных программ у меня стоят только COMODO Firewall и Sophos Anti-Rootkit. Jetico я что-то не нашел, да, он у меня был, но я его удалял.
Как же мне быть дальше? В нормальном режиме ничего не работает, кроме открытия дисков и папок, не работают все exe-шные программы, не работают задачи - свойства Моего компьютера, программное включение/выключение компьютера. Локальная сеть тоже включена, отключение, параметры, состояние сети - ничто не реагирует. Может быть можно выполнить какой-нибудь скрипт в AVZ, чтобы все заработало вновь? Я помню, что у меня semo2x.exe получилось измнил и некоторые системные файлы, а как их теперь вылечить, я не знаю. Неужели придется переустанавливать Windows?
P.S. Прикрепляю свои новые логи.
P.P.S. На крайний случай можно еще мне попробовать сделать восстановление системы из безопасного режима, предварительно включив эту функцию. Жду ваших мнений.
Дополнение: Восстановление системы в безопасном режиме невозможно, а в нормальном режиме как я уже говорил - ничего не работает.
Последний раз редактировалось JUNKMAN; 21.07.2008 в 19:54.
Скрипт выполнил. Попробовал зайти в Windows в нормальном режиме. Ничего не включается. Знаете, я стал думать, не изменил ли мне вирус мою учетную запись на обычного гостя? А то ошибки при запуске программ такие: "Невозможно запустить файл. Возможно у вас недостаточно полномочий". А при выключении/перезагрузке у меня пишет такую ошибку: "Выключение/перезагрузка компьютера невозможна. У вас нет прав." Хотя так-то сама учетная запись никак не "обрезана", в смысле значок приветсвия мой - ALEX, и все пиктограммы на рабочем столе видны.
Кстати в этой теме я так и не ответил. Тогда пришлось переустанавливать систему.
Уже не помню, но Windows было просто не запустить. Или я с утилитой той что-то натворил.
Сейчас этого вируса нет, все чисто. Главное - блокировать его сразу же.
Последний раз редактировалось JUNKMAN; 30.01.2009 в 14:32.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: