-
Junior Member
- Вес репутации
- 58
После удаления вируса с баннером. Не запускаются некоторые программы.
Поймали вирус с банером который при загрузке пишет, что Microsoft Security Essentials определил, что используете пиратскую версию, отправьте смс на 500 руб, на такой номер.
Я нашел инструкцию по удалению вируса.
Нашел вот этот файл: C:\Documents and Settings\Admin\ms.exe
Удалил его и удалил из реестра.
Винда стала загружаться, но многие программы не запускаются , а выдают разные ошибки типа:
Опера пишет "Opera has failed to access or upgrade your profile ..."
Photoshop пишет, что нужно переустановить программу.
Skype не хочет подключаться пишет "Ошибка ввода вывода диска. ..."
И т.д.
Когда я менял атрибуты файлов через тотал коммандер, случайно скрыл все папки на диске C, потом пытался через права администратора их включить т.к. через проводник не получалось это сделать. В итоге включил их через дос команду attribute
Может из-за того, что я поменял аттрибуты файлов и файлы поэтому не открываются. Я после этого пробовал менять аттрибуты через тотал коммандер. Результат все тот же
Windows XP SP2
Заранее спасибо за ответ !
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Dmitry2, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S86170131');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S169169149');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S54188164');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1827896');
DeleteFile('C:\Documents and Settings\Admin\Application Data\archsoft\archstart.rar');
DeleteFile('C:\System Volume Information\_restore{A509C799-453C-4B6C-9CC2-AFA8BD87CE0A}\RP50\A0010882.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Скрипт выполнил, но в карантине ничего не появилось.
Все логи сделал.
-
Удалите в МВАМ только указанные строки
Код:
Обнаруженные ключи в реестре: 1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Documents and Settings\Admin\Application Data\archsoft (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные файлы: 39
C:\Documents and Settings\Admin\Application Data\archsoft\winzipk.exe (Trojan.FakeSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\rubashka.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\a.htm (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\dir.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\foot.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\wfont.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\winzipninfo.rar (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel3.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel4.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel5.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel6.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel7.png (Trojan.Agent) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Действия выполнил.
Ничего не поменялось.
Может еще есть какие-нибудь идеи ?
Может я доступ неправильный поставил , когда атрибуты пытался поменять ?
Кстати, эти программы не запускаются и в безопасном режиме
- - - Добавлено - - -
Я сам решил этот вопрос.
Вирус я уже остановил до обращения.
А сейчас
В безопасном режиме я поменял атрибуты
в c:\users\...\Appdata\
И еще сделал chkdsk , возможно комп был аварийно выключен и часть программ заглючило.
Спасибо за то что пытались помочь !
Тема закрыта.
Последний раз редактировалось Dmitry2; 15.10.2012 в 16:59.
-
-