Показано с 1 по 10 из 10.

Вирус ".exe" (заявка № 12466)

  1. #1
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    4
    Вес репутации
    38

    Exclamation Вирус ".exe"

    Симптомы заражения:
    1. Не включить отображение скрытых файлов и папок любым известным стандартным способом (помогло только regsvr32 /i shell32.dll )
    !!! После их отображения - на каждом логическом диске и в с:\system32 обнаружен скрытый файл ".exe" и autorun-ы
    2. В Диспечере задач Windows - несколько загруженных .exe
    3. Заражает флэшки
    4. Не дает запустить ни один известный антивирус. NOD32 после переименования запускаемого файла - запустился.
    Предпринятые Действия:
    Были удалены все вышеописанные скрытые ".ехе" (и autorun-ы, естественно). Однако ни один антивирус так и не удается запустить обычным способом.
    Насколько я понимаю, сама вирусня удалена. Но где-то прописана и загружается какая-то ерунда, которая блокирует запуск всех антивирусов..

    Чё делать?..
    ..шлю необходимые файлы..
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Заражения не видно. Можно попробовать вот такой скрипт:
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(8);
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    сообщите, что из этого используется:
    Код:
    Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Остальное надо закрыть, помогу
    P.S.диск с ХP имеется ?

  4. #3
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    4
    Вес репутации
    38
    Drongo, спасибо за консультацию! Видимо, только Вы и знаете, что делать (всего лишь один ответ..). Все Ваши рекомендации смогу проделать только в понедельник в силу обстоятельств.
    Но на вопросы ответить могу сейчас.
    1. Дистрибутив XP имеется
    2. Службы:
    перечисленные службы не нужны.
    3. Службы - Безопасность:
    - пусть будут все три (область применения ПК - домашний, дома организована локалка на три компа)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Мне приятно, но это не так . На спасибо надо нажимать
    Вернёмся к больному , скрипт выполнили ? что-то изменилось ?

    Предлагаю такой план:
    Восстановление ХП , вот довольно подробно описано.:
    http://www.michaelstevenstech.com/XPrepairinstall.htm

    В общих словах :
    Нужно загрузиться с компакт-диска с дистрибутивом ХР (обязательно должен быть тот же сервис пак, что установлен). Нажать установку новой копии (Enter), и выбрать раздел, в котором уже стоит винда. И вот тогда будет предложено затереть уже установленную копию или установить в режиме восстановления.Выбрать "установить в режиме восстановления"


    Цитата Сообщение от navyvolk Посмотреть сообщение
    перечисленные службы не нужны.
    Код:
    begin
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RDSessMgr', 4);
    RebootWindows(true);
    end.
    Последний раз редактировалось drongo; 17.09.2007 в 22:52.

  6. #5
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    4
    Вес репутации
    38
    мда..
    после выполнения первого скрипта (не того, который закрывает службы), ничего не произошло, а именно, AVP устанавливаться и работать не начал.
    По совету начал восстановление Windows.
    как написано на сайте по ссылке.
    В итоге... синий экран STOP 0x0000007e (0xc0000005, 0x804F162C, 0xF78E2A8C, 0xF78E278

    понятно, что теперь с этой проблемой на этом форуме делать нечего..
    жаль Wind-у...

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    сделайте лог как написано здесь

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Есть предложение провериться загрузившись с СД Cure-it beta. Лучше не экспресс-проверку, а полную.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    4
    Вес репутации
    38
    V_Bond:
    в Safe Mode не выйти, т.к. не закончена установка Windows! (прошло копирование в "режиме восстановления" файлов в DOS интерфесе, перезагрузка, Windows-интерфейс, доходит до 34%, перезагрузка и опять установка Windows 39%).. Спасибо за рекомендацию!!

    PavelA:
    где-нибудь есть образ этого загрузочного Cure-it?
    на drweb только сама программа. (можно, конечно, и самому поколдовать над загрузочным диском, но, тем неменее..)

    В любом случае, исходя из сложившейся ситуации, скорее всего поможет только полная переустановка W.
    Но проверить всё Cure-It или AVP после переустановки считаю крайне необходимо. Так?

    Поскольку жизнь начнется "с нуля", тему можно было бы и закрыть. НО!
    Уважаемые эксперты! Во-первых, спасибо всем, кто откликнулся!
    во 2-х:
    А всё же!!!
    если, как в моем случае, найдено тело вируса и уничтожено, но остались последствия => не устанавливается и не работает ни один антивирус!
    Можно ли сказать наверняка: в каких настройках произошли изменения, что не дает антивирусникам правильно работать (понятно, что так называемое противоядие, которое реагирует на все известные исполняемые файлы известных антивирусов). Так где оно может сидеть??

    Буду признателен всем за размышления.
    Как уже сказал, испытуемый комп, ради которого затевался этот разговор, уже возвращен к первообразу
    Интересно знать на будущее: не запускается/ устанавливается антивирус - сносить Windows сразу или нет ))))

    Еще раз всем спасибо за помощь!! VIRUSINFO - 4ever!!

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Что именно поломалось трудно сказать
    Намного легче предпринимать меры чтобы не заражаться, а именно:
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Есть разные варианты борьбы с антивирусами: троян в ядре, троян в автозапуске плюс все это спрятанно руткитом.

    Если нет Live-CD есть вариант снять винчестер и проверить на другой, заведомо чистой машине.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) navyvolk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 2
      Последнее сообщение: 25.06.2011, 16:40
    3. Ответов: 12
      Последнее сообщение: 16.06.2011, 11:15
    4. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00288 seconds with 17 queries