Показано с 1 по 20 из 20.

Подозрение на Virus.Win32.PE_Type1 (заявка № 15966)

  1. #1
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61

    Thumbs up Подозрение на Virus.Win32.PE_Type1

    Приветствую вас!
    Помогите выбраться из того, во что вляпался:
    установил человеку Авиру и... вобщем, после блокирования авирой червя, комп не грузится. почти. не запускается експлорер. виндузовый.
    сижу возле чисто-голубого экрана с указателем мыши и через диспетчер запускаю почти любые проги. вот только explorer.exe не могу.
    короче- ХЕЛП, СОС, ПЛИИИЗ!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните пункт 2 правил .... проверка CureIt обязательно предварительно записав на cd на чистой машине ...
    затем повторите логи ....

    Добавлено через 1 минуту

    и не забудьте перед проверкой отключить Восстановление системы
    Последний раз редактировалось V_Bond; 04.01.2008 в 21:15. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61
    рад бы отключить, но как это сделать, не загружая оболочку explorer-А?
    Не подскажете?
    да, проверял ВСЕ авирой с сегодняшними базами. Этого недостаточно?

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Следует выполнить скрипт:
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\drwatson.exe','');
     QuarantineFile('C:\WINDOWS\Registration\CRMLog\Star Office 9.pif','');
     QuarantineFile('C:\WINDOWS\Registration\CRMLog\Harry Potter e book.doc.pif','');
    end.
    И прислать карантин согласно правилам

    Добавлено через 55 секунд

    Цитата Сообщение от bdn135 Посмотреть сообщение
    рад бы отключить, но как это сделать, не загружая оболочку explorer-А?
    Не подскажете?
    да, проверял ВСЕ авирой с сегодняшними базами. Этого недостаточно?
    См. мой ответ номер 4 ... пришлите файлы, после их анализа все можно будет получить скриптом
    Последний раз редактировалось Зайцев Олег; 04.01.2008 в 21:20. Причина: Добавлено

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от bdn135 Посмотреть сообщение
    рад бы отключить, но как это сделать, не загружая оболочку explorer-А?
    Не подскажете?
    да, проверял ВСЕ авирой с сегодняшними базами. Этого недостаточно?
    у вас есть тотал командер ... можно запустить при помощи диспетчера задач ...(он работает )

  7. #6
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61
    карантин прислал. в него только 2 файла попали
    V_Bond, плиз поподробнее, как это сделать? (отключить восстановление) моего копутера я не вижу, панель управления не запускается- для ее загрузки эксплорер требуется (пробовал запустить контрол.ехе)
    как? я не волшебник, да и ученик ленивый...

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от bdn135 Посмотреть сообщение
    карантин прислал. в него только 2 файла попали
    V_Bond, плиз поподробнее, как это сделать? (отключить восстановление) моего копутера я не вижу, панель управления не запускается- для ее загрузки эксплорер требуется (пробовал запустить контрол.ехе)
    как? я не волшебник, да и ученик ленивый...
    Сейчас посмотрю файлы и попробуем скриптом вернуть работоспособности системе, а потом будем добивать остальное ...

    Добавлено через 13 минут

    Цитата Сообщение от bdn135 Посмотреть сообщение
    карантин прислал. в него только 2 файла попали
    V_Bond, плиз поподробнее, как это сделать? (отключить восстановление) моего копутера я не вижу, панель управления не запускается- для ее загрузки эксплорер требуется (пробовал запустить контрол.ехе)
    как? я не волшебник, да и ученик ленивый...
    Ну что, попробуем полечиться ... Следует выполнить скрипт:
    Код:
    begin
     SetAVZGuardStatus(True);
     SearchRootkit(true, true);
     DeleteFile('C:\WINDOWS\drwatson.exe');
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteRepair(1);
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
     ExecuteRepair(16);
     ExecuteRepair(17);
     RebootWindows(true);
    end.
    Компьютер уйдет на перезагрузку, после нее в теории проводник должен запуститься. По файлам - это червяк почтовый, разновидность Scano (собственно куча подозрений на PE_Type1 - это и есть файлы червяка). AVZ завтра после обновления баз начнет его детектить, можно будет поубивать им или применять CureIt
    Последний раз редактировалось Зайцев Олег; 04.01.2008 в 21:59. Причина: Добавлено

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от bdn135 Посмотреть сообщение
    V_Bond, плиз поподробнее, как это сделать? (отключить восстановление) моего копутера я не вижу, панель управления не запускается- для ее загрузки эксплорер требуется (пробовал запустить контрол.ехе)
    как? я не волшебник, да и ученик ленивый...
    что ленивый точно вам для информации ...
    диспетчер задач ... новая задача ... mscofig ... Запустить восстановление системы - параметры восстановления - отключить

  10. #9
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61
    класс, система ожила! хотя бы внешне.
    Что теперь сделать? куреит по полной программе, авз и хайджек?
    восстановление отключил.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от bdn135 Посмотреть сообщение
    класс, система ожила! хотя бы внешне.
    Что теперь сделать? куреит по полной программе, авз и хайджек?
    восстановление отключил.
    Теперь отрубить восстановление системы, и пролечиться CureIt свежим. После этого сделать логи заново - для контроля

  12. #11
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    что ленивый точно вам для информации ...
    диспетчер задач ... новая задача ... mscofig ... Запустить восстановление системы - параметры восстановления - отключить
    вотза это- спасибо сердечное

  13. #12
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61
    и так
    я снова добрался до компа
    пролечил куреитом, выполнил скрипты АВЗ, которые и прилагаю
    да, еще авирой нашел несколько java- тварей и пару троянов в кэше прокси и не думая грохнул их.
    Взгляните, плиз, на результаты
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    что ленивый точно вам для информации ...
    диспетчер задач ... новая задача ... mscofig ... Запустить восстановление системы - параметры восстановления - отключить
    Я Вас приветствую!
    Кстати, этот способ не описан в "правилах", а , я думаю, далеко не мне одному он не известен...

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
     BC_QrSvc('Cdf0ppoe');
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  16. #15
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61
    карантин и инфектед пусты...
    зато исчезла видимая проблема- не было возможности перенастроить заставку logon

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('Cdf0ppoe');
     BC_Activate;
     RebootWindows(true);
    end.
    cделайте новый virusinfo_syscheck.zip

  18. #17
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61
    готово
    взгляните
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах чисто .... (только хвост от касперского болтается) ...
    стоит закрыть ненужное из этого списка
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: разрешен автоматический вход в систему

  20. #19
    Junior Member Репутация
    Регистрация
    28.09.2007
    Сообщений
    30
    Вес репутации
    61
    позакрывал удаленный реестр и терминальные службы
    Поживем- посмотрим, как дела пойдут
    Спасибочки

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\registration\\crmlog\\harry potter e book.doc.pif - Email-Worm.Win32.Scano.bd (DrWEB: Win32.HLLM.Perf)
      2. c:\\windows\\registration\\crmlog\\star office 9.pif - Email-Worm.Win32.Scano.bd (DrWEB: Win32.HLLM.Perf)


  • Уважаемый(ая) bdn135, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на Virus.Win32.PE_Type1
      От sinboy в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2010, 14:04
    2. Подозрение на Virus.Win32.PE_Type1
      От hotaka в разделе Помогите!
      Ответов: 33
      Последнее сообщение: 18.01.2010, 00:09
    3. system32\services.exe - Подозрение на Virus.Win32.PE_Type1
      От Kriaksus в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 08:25
    4. Сначала mailBomb, потом подозрение на Virus.Win32.PE_Type1
      От Kotofei Kotofee в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.02.2008, 09:06
    5. Подозрение на Virus.Win32.PE_Type1
      От gengal в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.05.2007, 10:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00529 seconds with 18 queries