-
Junior Member
- Вес репутации
- 53
Windows не удалось найти 'work.exe'.
Компъютер был проверен DrWeb'ом. Вирусы найдены и как неизлечимые удалены (один из них был "amvo"). При просмотре Настройки Системы на вкладке "Автозагрузка" почему то остался элемент с именем "amvo". Я его отключил - снял галку напротив имени.
Теперь при каждой перезагрузке выскакивает окно с текстром: "Windows не удалось найти 'work.exe'. Проверьте, что имя было введено правильно..." и т.д.
Я сделал диагностику, как описано у Вас в правилах. Логи во вложении.
В принципе, тоже происходит и на втором компъютере, видимо, заразились друг от друга. Но с ним буду разбираться потом.
Заранее благодарен,
Михаил.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пофиксите в HJT:
Код:
F2 - REG:system.ini: Shell=Explorer.exe work.exe
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Больше ничего плохого
-
-
Junior Member
- Вес репутации
- 53
Огромное спасибо.
"Windows не удалось найти 'work.exe'. Проверьте, что имя было введено правильно..." больше не выскакивает.
Но что делать с "amvo"?
В "Панель управления" - "Настройка системы" на вкладке "автозагрузка" оно все еще существует?
Михаил.
-
-
-
Junior Member
- Вес репутации
- 53
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
В AVZ выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('mssql.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
DeleteFileMask('%TMP%','*.*',true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы. Если он окажется пустым, то поищите файл mssql.exe с помощью AVZ, добавьте в карантин, если найдете, и пришлите по красной ссылке вверху темы.
-
-
Junior Member
- Вес репутации
- 53
AVZ выдает вот что:
Ошибка карантина файла, попытка прямого чтения (mssql.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\mssql.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\mssql.exe)
Карантин с использованием прямого чтения - ошибка
mssql.exe вручную найти не удалось. Отображение скрытых файлов включено. Есть только MSSQL.EXE-37D280EC.pf.
После выполнения первого скрипта amvo из автозагрузки не исчезло.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
O4 - HKCU\..\Run: [mswindws] mssql.exe
В AVZ выполните скрипт:
Код:
begin
ClearQuarantine;
SearchRootKit(true,true);
SetAVZGuardStatus(True);
QuarantineFile('mssql.exe','');
QuarantineFile('C:\WINDOWS\mssql.exe','');
QuarantineFile('C:\WINDOWS\system32\mssql.exe','');
DeleteFile('mssql.exe');
DeleteFile('C:\WINDOWS\mssql.exe');
DeleteFile('C:\WINDOWS\system32\mssql.exe');
BC_ImportAll;
ExecuteSysClean;
BC_QrFile('C:\WINDOWS\mssql.exe');
BC_QrFile('C:\WINDOWS\system32\mssql.exe');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите + сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 53
Спасибо. Смогу сделать только сегодня вечером.