-
Junior Member
- Вес репутации
- 56
Файлы *.exe стали скрытыми папками
Перестали запускаться ехе файлы, часть системных файлов стали срытыми папками (например cmd.exe стал папкой с одноименным названием)
Просканировал с загрузочного диска Касперского, удалил вирус название не могу сказать, а последствия остались
Очень нужна помощь
Да "переименованы" в папки такие файлы как regedit.exe taskmgr.exe cmd.exe и т.д.
Последний раз редактировалось ferg; 04.06.2010 в 21:49.
Причина: Нужна помощь
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 56
Желательно что бы тему не игнорировали пожалуйста
Хочу добавить, что логи делались из под вновь созданной учетной записи. Под "больной" запускается только управление компом. Под новой учетной записью exe файлы запускаются, но regedit.exe taskmgr.exe cmd.exe msconfig и др. так и остались в виде папок. Причем скопировать например taskmgr.exe с другой винды невозможно с ошибкой нет доступа, снимите защиту от записи, но с флешки например файл запускается и работает
Последний раз редактировалось ferg; 05.06.2010 в 08:44.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342');
QuarantineFile('C:\WINDOWS\system32\PuXpMan.exe','');
DeleteFile('C:\WINDOWS\system32\PuXpMan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mspwr');
DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DeleteFileMask('C:\BIN\RECYCLE', '*.*', true);
DeleteDirectory('C:\BIN\RECYCLE');
DeleteFileMask('C:\BIN\RECYCLE', '*.*', true);
DeleteDirectory('C:\BIN\RECYCLE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Сделал новые логи из под зараженной учетной записи
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll','');
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
QuarantineFile('C:\WINDOWS\system32\XP-D41D8CD9.EXE','');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
BC_DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повтор
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-