Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Как избавиться от четырёх вредоносных .exe файлов (заявка № 88373)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23

    Exclamation Как избавиться от четырёх вредоносных .exe файлов

    Всем привет! появилась проблема - после проверки флешки юзаной на другом ПК, антивирус не нашёл на ней подозрительных объектов, но после её открытия на рабочем столе появились четыре новых папки с именами: Новая папка, Кино, Information kino 2 и rimmas. Проверка ПК утилитами AVZ, CureIt и AVPTool результатов не дала - ПК чист. Но после перезагрузки слышно что подгружаются какие то программы - загрузка долгая и появляется окно предупреждение с именем s.exe в котором присутствует такая надпись "Windows не удалось найти 's.exe'. Проверьте, что имя было введено правильно и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".
    Вложения Вложения
    Последний раз редактировалось Никита Соловьев; 20.09.2010 в 18:40.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    - Пофиксите в hijackthis:
    Код:
    F2 - REG:system.ini: Shell=explorer.exe s.exe
    O9 - Extra button: (no name) - DctMapping - (no file)
    - Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\Новая папка.exe');
     TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\Кино.exe');
     TerminateProcessByName('c:\windows.exe');
     TerminateProcessByName('c:\documents and settings\all users\Документы\windows.exe');
     TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\rimmas.exe');
     TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\information kino 2.exe');
     QuarantineFile('C:\WINDOWS\avp.exe','');
     QuarantineFile('C:\windows.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Новая папка.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\avp.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Новая папка.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Кино.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\windows.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rimmas.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Information kino 2.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys','');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys');
     DeleteFile('C:\windows.exe');
     DeleteFile('C:\WINDOWS\avp.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Information kino 2.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rimmas.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\windows.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Кино.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Новая папка.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\avp.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Новая папка.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys');
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Сделайте новые логи + лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23

    как избавиться от четырёх вредносных .exe файлов

    пофиксил коды которые вы посоветовали, выполнил логи в AVZ, высылаю новые логи, но лог MBAM вышлю позже. очень признателен, что делать дальше?
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23

    сделал всё как указано выше...

    Доброе утро! пофиксил коды, выполнил скрипт, скачал и просканил ПК Malware! Высылаю свежие логи... Очень признателен! Что делать дальше?
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23
    Venus Doom, Спасибо большое за помощь! Но пришлось выполнить скрипт в АVZ два раза! Потом в диспетчере c помощью AVZ просканить все процессы и подозрительные удалить из автозагрузки! После этого вручную удалить с рабочего стола все оставшиеся вредоносные файлы! Единственная проблема AVZ не разблокировал реестр - Пуск=>Выполнить=>regedit не работает, может быть есть способ включить реестр, а то после выполнения этой команды появляется сообщение что Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Заранее благодарен с уважением Дмитрий!

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Удалите в МВАМ -

    Код:
    Зараженные процессы в памяти:
    C:\WINDOWS.exe (Worm.Venom) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS.exe (Worm.Venom) -> No action taken.
    C:\WINDOWS\avp.exe (Trojan.Downloader) -> No action taken.

  8. #7
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23

    Добрый вечер! Что делать дальше...

    Добрый вечер! Спасибо за помощ, а удалять всё, что просканил MBAM, или то, что Вы указали в коде только! Просто я не найду тех процессов, которые ты указал в коде.. С Уважением!
    Вложения Вложения

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,044
    Вес репутации
    1254
    Больше ничего плохого, остальное - кряки, кейгены и т.д.

    -Что с проблемой?

  10. #9
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23
    Проблема вроде бы изчезла! Но теперь в реестр не могу попасть, когда ввожу редактор реестра regedit в поле Выполнить появляется окно: Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Или выполните команду Пуск=>Найти. Выполняю Пуск Найти и не нахожу файла regedit. И ещё теперь когда коннекчу флешку окно предлагающее выполнить с ней какие то операции не появляется. И подскажи удалять нужно вот это, что выявил MBAM: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal. С Уважением.
    ПыСы: И еще папку Windows не найду, не подскажешь где она лежит. Заранее благодарен.

  11. #10
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23
    Добрый вечер! Подскажите плиз как попасть в реестр, т.е восстановить редактор regedit! С Уважением!

    moderated

    Спасибо большое! Но как теперь попасть в реестр! regedit не найти на ПК! и папка Windows не видна на С! Помогите!
    Последний раз редактировалось Никита Соловьев; 24.09.2010 в 21:12. Причина: лишнее цитирование удалено

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    пуск - выполнить - regedit.exe не подходит такой вариант?

  13. #12
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23
    Нет не подходит! Я же говорю, что даже поиском не ищется редактор! Пуск-выполнить-regedit.exe после выполнения выводиться окно: Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Или выполните команду Пуск=>Найти. Вот так! Как быть

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Восстановите его из дистрибутива

  15. #14
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23
    Подскажи почему я не могу запустить реестр! И папку Виндоус не найду? Вирус заблокировал! Или в скрипте дело???

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Папка windows может быть скрыта. Вы через проводник смотрите?

  17. #16
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23
    Да и через проводник и просто так через Мой компьютер! и в свойствах папки ставлю галку Показывать скрытые папки и файлы! ни как!

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Цитата Сообщение от distroy Посмотреть сообщение
    Да и через проводник и просто так через Мой компьютер
    это одно и то же.

    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
     RebootWindows(true);
    end.
    Компьютер перезагрузится

    так видно?

  19. #18
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23
    Это Удаление всех ограничений (Policies) для текущего пользователя. с 6-ой. А с 8-ой не знаю! Вообщем я даже через Групповую политику пробовал, но там стоит в Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Сделать недоступными средства редактирования реестра в Свойствах Не задано, как по умолчанию должно быть! А с восьмёркой поясни ExecuteRepair(?

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,462
    Вес репутации
    907
    Если Вам так интересно - восстановление настроек проводника...

  21. #20
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    23
    Да очень интересно просто вслепую не привык действовать извини если что не так!

    Добавлено через 7 минут

    Нет Виндоус не видно!
    Последний раз редактировалось distroy; 25.09.2010 в 22:33. Причина: Добавлено

  • Уважаемый(ая) distroy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите избавиться от файлов tmp.tmp
      От Sergey_67 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 28.11.2010, 06:29
    2. Ответов: 0
      Последнее сообщение: 20.09.2010, 22:36
    3. Ответов: 0
      Последнее сообщение: 07.02.2010, 20:24
    4. Ответов: 13
      Последнее сообщение: 22.02.2009, 05:51
    5. Выбираем HD-видеокамеру: тест четырёх моделей
      От ALEX(XX) в разделе Новости аппаратного обеспечения
      Ответов: 0
      Последнее сообщение: 26.02.2008, 23:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00737 seconds with 21 queries