-
Junior Member
- Вес репутации
- 53
Не запускаются некоторые .exe файлы
При запуске ПК (Windows XP Professional) первые минуты (около трех) все программы запускаются и работают в обычном режиме. После истечения трех минут после загрузки системы некоторые программы невозможно открыть (Mozilla, Internet Explorer, Qip, Nero и др., а также диспетчер задач). При перезагрузке системы все повторяется, первые минуты все работает, потом нет.
AVZ находит перехватчик KernelMode. После его удаления, перезагрузки системы и очередной проверки меняется лишь имя данного перехватчика.
В реестре значение "%1" %*
Вложение 194203
Вложение 194204
Вложение 194205
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\DOCUME~1\KING\LOCALS~1\Temp\w_w347A.tmp','');
QuarantineFile('d:\12013d836568beebb3c716\wgasetup.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('d:\12013d836568beebb3c716\wgasetup.exe');
DeleteFileMask('d:\12013d836568beebb3c716', '*.*', true);
DeleteDirectory('d:\12013d836568beebb3c716');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
DeleteFile('C:\DOCUME~1\KING\LOCALS~1\Temp\w_w347A.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime','EventMessageFile');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Обновите базы AVZ.
4) Сделайте новый лог virusinfo_syscheck.zip + такой лог: http://virusinfo.info/showthread.php?t=53070
-
-
Junior Member
- Вес репутации
- 53
-
Удалите в mbam:
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.
Заражено файлов:
C:\WINDOWS\system32\~.exe (Backdoor.Bot) -> No action taken.
Сделайте новый лог mbam.
Сообщите есть ли изменения в "самочувствие" системы.
-
-
Junior Member
- Вес репутации
- 53
Система начала отлично работать, без каких либо проблем после предложенных вами скриптов.
Если все исправлено, не могли бы вы рассказать, так сказать "на языке домашней хозяйки" какая проблема была в системе.
Прилагаю лог
Вложение 194326
-
В логе чисто.
Если все исправлено, не могли бы вы рассказать, так сказать "на языке домашней хозяйки" какая проблема была в системе.
Основная проблема была в вирусном заражение - из того что попало в карантин:
C:\WINDOWS\System32\sfcfiles.dll - KIS 2009=Зловред Trojan.Win32.Patched.fr; DrWEB 5.0=Зловред Trojan.WinSpy.420
Этот зловред идёт в комплекте с C:\WINDOWS\System32\Drivers\sfc.SYS и т.д.
Также я подчистил вам систему от мусора.
Проблема полностью решена?
Рекомендации:
1) Установите Internet Explorer 8.
2) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
-
-
Junior Member
- Вес репутации
- 53
Полностью, все работает.
Огромное спасибо! Сэкономили мне уйму времени. Удачи вам )
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.420, AVAST4: Win32:Patched-KP [Trj] )
-