Как избавиться от четырёх вредоносных .exe файлов

**distroy** · 20.09.2010, 18:18

Всем привет! появилась проблема - после проверки флешки юзаной на другом ПК, антивирус не нашёл на ней подозрительных объектов, но после её открытия на рабочем столе появились четыре новых папки с именами: Новая папка, Кино, Information kino 2 и rimmas. Проверка ПК утилитами AVZ, CureIt и AVPTool результатов не дала - ПК чист. Но после перезагрузки слышно что подгружаются какие то программы - загрузка долгая и появляется окно предупреждение с именем s.exe в котором присутствует такая надпись "Windows не удалось найти 's.exe'. Проверьте, что имя было введено правильно и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 20.09.2010, 18:47

- Пофиксите в hijackthis:

Код:

F2 - REG:system.ini: Shell=explorer.exe s.exe
O9 - Extra button: (no name) - DctMapping - (no file)

- Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\Новая папка.exe');
 TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\Кино.exe');
 TerminateProcessByName('c:\windows.exe');
 TerminateProcessByName('c:\documents and settings\all users\Документы\windows.exe');
 TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\rimmas.exe');
 TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\information kino 2.exe');
 QuarantineFile('C:\WINDOWS\avp.exe','');
 QuarantineFile('C:\windows.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Новая папка.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\avp.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Новая папка.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Кино.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\windows.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rimmas.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Information kino 2.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys');
 DeleteFile('C:\windows.exe');
 DeleteFile('C:\WINDOWS\avp.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Information kino 2.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rimmas.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\windows.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Кино.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Новая папка.exe');
 DeleteFile('C:\Documents and Settings\All Users\Документы\avp.exe');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Новая папка.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys');
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи + лог MBAM

**distroy** · 20.09.2010, 22:36

пофиксил коды которые вы посоветовали, выполнил логи в AVZ, высылаю новые логи, но лог MBAM вышлю позже. очень признателен, что делать дальше?

**distroy** · 21.09.2010, 09:12

Доброе утро! пофиксил коды, выполнил скрипт, скачал и просканил ПК Malware! Высылаю свежие логи... Очень признателен! Что делать дальше?

**distroy** · 21.09.2010, 12:43

Venus Doom, Спасибо большое за помощь! Но пришлось выполнить скрипт в АVZ два раза! Потом в диспетчере c помощью AVZ просканить все процессы и подозрительные удалить из автозагрузки! После этого вручную удалить с рабочего стола все оставшиеся вредоносные файлы! Единственная проблема AVZ не разблокировал реестр - Пуск=>Выполнить=>regedit не работает, может быть есть способ включить реестр, а то после выполнения этой команды появляется сообщение что Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Заранее благодарен с уважением Дмитрий!

**olejah** · 21.09.2010, 15:08

Удалите в МВАМ -

Код:

Зараженные процессы в памяти:
C:\WINDOWS.exe (Worm.Venom) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Зараженные файлы:
C:\WINDOWS.exe (Worm.Venom) -> No action taken.
C:\WINDOWS\avp.exe (Trojan.Downloader) -> No action taken.

**distroy** · 21.09.2010, 20:28

Добрый вечер! Спасибо за помощ, а удалять всё, что просканил MBAM, или то, что Вы указали в коде только! Просто я не найду тех процессов, которые ты указал в коде.. С Уважением!

**olejah** · 21.09.2010, 20:32

Больше ничего плохого, остальное - кряки, кейгены и т.д.

-Что с проблемой?

**distroy** · 22.09.2010, 09:37

Проблема вроде бы изчезла! Но теперь в реестр не могу попасть, когда ввожу редактор реестра regedit в поле Выполнить появляется окно: Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Или выполните команду Пуск=>Найти. Выполняю Пуск Найти и не нахожу файла regedit. И ещё теперь когда коннекчу флешку окно предлагающее выполнить с ней какие то операции не появляется. И подскажи удалять нужно вот это, что выявил MBAM: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal. С Уважением.
ПыСы: И еще папку Windows не найду, не подскажешь где она лежит. Заранее благодарен.

**distroy** · 24.09.2010, 21:08

Добрый вечер! Подскажите плиз как попасть в реестр, т.е восстановить редактор regedit! С Уважением!

moderated

Спасибо большое! Но как теперь попасть в реестр! regedit не найти на ПК! и папка Windows не видна на С! Помогите!

**Никита Соловьев** · 24.09.2010, 21:13

пуск - выполнить - regedit.exe не подходит такой вариант?

**distroy** · 25.09.2010, 09:38

Нет не подходит! Я же говорю, что даже поиском не ищется редактор! Пуск-выполнить-regedit.exe после выполнения выводиться окно: Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Или выполните команду Пуск=>Найти. Вот так! Как быть

**Никита Соловьев** · 25.09.2010, 18:14

Восстановите его из дистрибутива

**distroy** · 25.09.2010, 21:41

Подскажи почему я не могу запустить реестр! И папку Виндоус не найду? Вирус заблокировал! Или в скрипте дело???

**Никита Соловьев** · 25.09.2010, 21:52

Папка windows может быть скрыта. Вы через проводник смотрите?

**distroy** · 25.09.2010, 21:59

Да и через проводник и просто так через Мой компьютер! и в свойствах папки ставлю галку Показывать скрытые папки и файлы! ни как!

**Никита Соловьев** · 25.09.2010, 22:05

Сообщение от distroy

Да и через проводник и просто так через Мой компьютер

это одно и то же.

Выполните скрипт в AVZ:

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(true);
end.

Компьютер перезагрузится

так видно?

**distroy** · 25.09.2010, 22:21

Это Удаление всех ограничений (Policies) для текущего пользователя. с 6-ой. А с 8-ой не знаю! Вообщем я даже через Групповую политику пробовал, но там стоит в Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Сделать недоступными средства редактирования реестра в Свойствах Не задано, как по умолчанию должно быть! А с восьмёркой поясни ExecuteRepair(

?

**Никита Соловьев** · 25.09.2010, 22:22

Если Вам так интересно - восстановление настроек проводника...

**distroy** · 25.09.2010, 22:33

Да очень интересно просто вслепую не привык действовать извини если что не так!

Добавлено через 7 минут

Нет Виндоус не видно!

Как избавиться от четырёх вредоносных .exe файлов (заявка № 88373)

Опции темы

Как избавиться от четырёх вредоносных .exe файлов

как избавиться от четырёх вредносных .exe файлов

сделал всё как указано выше...

Добрый вечер! Что делать дальше...

Похожие темы

Помогите избавиться от файлов tmp.tmp

как избавиться от четырёх вредносных .exe файлов

Выбираем архиватор: сравнение четырёх популярных утилит сжатия файлов

Не могу избавиться от завирусованных файлов!

Ваши права в разделе