Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Как избавиться от четырёх вредоносных .exe файлов (заявка № 88373)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50

    Exclamation Как избавиться от четырёх вредоносных .exe файлов

    Всем привет! появилась проблема - после проверки флешки юзаной на другом ПК, антивирус не нашёл на ней подозрительных объектов, но после её открытия на рабочем столе появились четыре новых папки с именами: Новая папка, Кино, Information kino 2 и rimmas. Проверка ПК утилитами AVZ, CureIt и AVPTool результатов не дала - ПК чист. Но после перезагрузки слышно что подгружаются какие то программы - загрузка долгая и появляется окно предупреждение с именем s.exe в котором присутствует такая надпись "Windows не удалось найти 's.exe'. Проверьте, что имя было введено правильно и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".
    Последний раз редактировалось Никита Соловьев; 20.09.2010 в 18:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    - Пофиксите в hijackthis:
    Код:
    F2 - REG:system.ini: Shell=explorer.exe s.exe
    O9 - Extra button: (no name) - DctMapping - (no file)
    - Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\Новая папка.exe');
     TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\Кино.exe');
     TerminateProcessByName('c:\windows.exe');
     TerminateProcessByName('c:\documents and settings\all users\Документы\windows.exe');
     TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\rimmas.exe');
     TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\information kino 2.exe');
     QuarantineFile('C:\WINDOWS\avp.exe','');
     QuarantineFile('C:\windows.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Новая папка.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\avp.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Новая папка.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Кино.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\windows.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rimmas.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Information kino 2.exe','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys','');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys');
     DeleteFile('C:\windows.exe');
     DeleteFile('C:\WINDOWS\avp.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Information kino 2.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rimmas.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\windows.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Кино.exe');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Новая папка.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\avp.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Новая папка.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys');
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Сделайте новые логи + лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50

    как избавиться от четырёх вредносных .exe файлов

    пофиксил коды которые вы посоветовали, выполнил логи в AVZ, высылаю новые логи, но лог MBAM вышлю позже. очень признателен, что делать дальше?

  5. #4
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50

    сделал всё как указано выше...

    Доброе утро! пофиксил коды, выполнил скрипт, скачал и просканил ПК Malware! Высылаю свежие логи... Очень признателен! Что делать дальше?

  6. #5
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50
    Venus Doom, Спасибо большое за помощь! Но пришлось выполнить скрипт в АVZ два раза! Потом в диспетчере c помощью AVZ просканить все процессы и подозрительные удалить из автозагрузки! После этого вручную удалить с рабочего стола все оставшиеся вредоносные файлы! Единственная проблема AVZ не разблокировал реестр - Пуск=>Выполнить=>regedit не работает, может быть есть способ включить реестр, а то после выполнения этой команды появляется сообщение что Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Заранее благодарен с уважением Дмитрий!

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Удалите в МВАМ -

    Код:
    Зараженные процессы в памяти:
    C:\WINDOWS.exe (Worm.Venom) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS.exe (Worm.Venom) -> No action taken.
    C:\WINDOWS\avp.exe (Trojan.Downloader) -> No action taken.

  8. #7
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50

    Добрый вечер! Что делать дальше...

    Добрый вечер! Спасибо за помощ, а удалять всё, что просканил MBAM, или то, что Вы указали в коде только! Просто я не найду тех процессов, которые ты указал в коде.. С Уважением!

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Больше ничего плохого, остальное - кряки, кейгены и т.д.

    -Что с проблемой?

  10. #9
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50
    Проблема вроде бы изчезла! Но теперь в реестр не могу попасть, когда ввожу редактор реестра regedit в поле Выполнить появляется окно: Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Или выполните команду Пуск=>Найти. Выполняю Пуск Найти и не нахожу файла regedit. И ещё теперь когда коннекчу флешку окно предлагающее выполнить с ней какие то операции не появляется. И подскажи удалять нужно вот это, что выявил MBAM: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal. С Уважением.
    ПыСы: И еще папку Windows не найду, не подскажешь где она лежит. Заранее благодарен.

  11. #10
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50
    Добрый вечер! Подскажите плиз как попасть в реестр, т.е восстановить редактор regedit! С Уважением!

    moderated

    Спасибо большое! Но как теперь попасть в реестр! regedit не найти на ПК! и папка Windows не видна на С! Помогите!
    Последний раз редактировалось Никита Соловьев; 24.09.2010 в 21:12. Причина: лишнее цитирование удалено

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    пуск - выполнить - regedit.exe не подходит такой вариант?

  13. #12
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50
    Нет не подходит! Я же говорю, что даже поиском не ищется редактор! Пуск-выполнить-regedit.exe после выполнения выводиться окно: Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Или выполните команду Пуск=>Найти. Вот так! Как быть

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Восстановите его из дистрибутива

  15. #14
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50
    Подскажи почему я не могу запустить реестр! И папку Виндоус не найду? Вирус заблокировал! Или в скрипте дело???

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Папка windows может быть скрыта. Вы через проводник смотрите?

  17. #16
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50
    Да и через проводник и просто так через Мой компьютер! и в свойствах папки ставлю галку Показывать скрытые папки и файлы! ни как!

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от distroy Посмотреть сообщение
    Да и через проводник и просто так через Мой компьютер
    это одно и то же.

    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
     RebootWindows(true);
    end.
    Компьютер перезагрузится

    так видно?

  19. #18
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50
    Это Удаление всех ограничений (Policies) для текущего пользователя. с 6-ой. А с 8-ой не знаю! Вообщем я даже через Групповую политику пробовал, но там стоит в Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Сделать недоступными средства редактирования реестра в Свойствах Не задано, как по умолчанию должно быть! А с восьмёркой поясни ExecuteRepair(?

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Если Вам так интересно - восстановление настроек проводника...

  21. #20
    Junior Member Репутация
    Регистрация
    20.09.2010
    Сообщений
    13
    Вес репутации
    50
    Да очень интересно просто вслепую не привык действовать извини если что не так!

    Добавлено через 7 минут

    Нет Виндоус не видно!
    Последний раз редактировалось distroy; 25.09.2010 в 22:33. Причина: Добавлено

  • Уважаемый(ая) distroy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите избавиться от файлов tmp.tmp
      От Sergey_67 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 28.11.2010, 06:29
    2. Ответов: 0
      Последнее сообщение: 20.09.2010, 22:36
    3. Ответов: 0
      Последнее сообщение: 07.02.2010, 20:24
    4. Ответов: 13
      Последнее сообщение: 22.02.2009, 05:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00401 seconds with 19 queries