-
Junior Member
- Вес репутации
- 50
Как избавиться от четырёх вредоносных .exe файлов
Всем привет! появилась проблема - после проверки флешки юзаной на другом ПК, антивирус не нашёл на ней подозрительных объектов, но после её открытия на рабочем столе появились четыре новых папки с именами: Новая папка, Кино, Information kino 2 и rimmas. Проверка ПК утилитами AVZ, CureIt и AVPTool результатов не дала - ПК чист. Но после перезагрузки слышно что подгружаются какие то программы - загрузка долгая и появляется окно предупреждение с именем s.exe в котором присутствует такая надпись "Windows не удалось найти 's.exe'. Проверьте, что имя было введено правильно и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".
Последний раз редактировалось Никита Соловьев; 20.09.2010 в 18:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Пофиксите в hijackthis:
Код:
F2 - REG:system.ini: Shell=explorer.exe s.exe
O9 - Extra button: (no name) - DctMapping - (no file)
- Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\Новая папка.exe');
TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\Кино.exe');
TerminateProcessByName('c:\windows.exe');
TerminateProcessByName('c:\documents and settings\all users\Документы\windows.exe');
TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\rimmas.exe');
TerminateProcessByName('c:\documents and settings\admin\Главное меню\Программы\Автозагрузка\information kino 2.exe');
QuarantineFile('C:\WINDOWS\avp.exe','');
QuarantineFile('C:\windows.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Новая папка.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\avp.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Новая папка.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Кино.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\windows.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rimmas.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Information kino 2.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys');
DeleteFile('C:\windows.exe');
DeleteFile('C:\WINDOWS\avp.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Information kino 2.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\rimmas.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\windows.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Кино.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Новая папка.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\avp.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Новая папка.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LVIqtGoH.sys');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи + лог MBAM
-
-
Junior Member
- Вес репутации
- 50
как избавиться от четырёх вредносных .exe файлов
пофиксил коды которые вы посоветовали, выполнил логи в AVZ, высылаю новые логи, но лог MBAM вышлю позже. очень признателен, что делать дальше?
-
Junior Member
- Вес репутации
- 50
сделал всё как указано выше...
Доброе утро! пофиксил коды, выполнил скрипт, скачал и просканил ПК Malware! Высылаю свежие логи... Очень признателен! Что делать дальше?
-
Junior Member
- Вес репутации
- 50
Venus Doom, Спасибо большое за помощь! Но пришлось выполнить скрипт в АVZ два раза! Потом в диспетчере c помощью AVZ просканить все процессы и подозрительные удалить из автозагрузки! После этого вручную удалить с рабочего стола все оставшиеся вредоносные файлы! Единственная проблема AVZ не разблокировал реестр - Пуск=>Выполнить=>regedit не работает, может быть есть способ включить реестр, а то после выполнения этой команды появляется сообщение что Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Заранее благодарен с уважением Дмитрий!
-
Удалите в МВАМ -
Код:
Зараженные процессы в памяти:
C:\WINDOWS.exe (Worm.Venom) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
C:\WINDOWS.exe (Worm.Venom) -> No action taken.
C:\WINDOWS\avp.exe (Trojan.Downloader) -> No action taken.
-
-
Junior Member
- Вес репутации
- 50
Добрый вечер! Что делать дальше...
Добрый вечер! Спасибо за помощ, а удалять всё, что просканил MBAM, или то, что Вы указали в коде только! Просто я не найду тех процессов, которые ты указал в коде.. С Уважением!
-
Больше ничего плохого, остальное - кряки, кейгены и т.д.
-Что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Проблема вроде бы изчезла! Но теперь в реестр не могу попасть, когда ввожу редактор реестра regedit в поле Выполнить появляется окно: Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Или выполните команду Пуск=>Найти. Выполняю Пуск Найти и не нахожу файла regedit. И ещё теперь когда коннекчу флешку окно предлагающее выполнить с ней какие то операции не появляется. И подскажи удалять нужно вот это, что выявил MBAM: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal. С Уважением.
ПыСы: И еще папку Windows не найду, не подскажешь где она лежит. Заранее благодарен.
-
Junior Member
- Вес репутации
- 50
Добрый вечер! Подскажите плиз как попасть в реестр, т.е восстановить редактор regedit! С Уважением!
moderated
Спасибо большое! Но как теперь попасть в реестр! regedit не найти на ПК! и папка Windows не видна на С! Помогите!
Последний раз редактировалось Никита Соловьев; 24.09.2010 в 21:12.
Причина: лишнее цитирование удалено
-
пуск - выполнить - regedit.exe не подходит такой вариант?
-
-
Junior Member
- Вес репутации
- 50
Нет не подходит! Я же говорю, что даже поиском не ищется редактор! Пуск-выполнить-regedit.exe после выполнения выводиться окно: Windows не удалось найти 'regedit'. Проверьте, что имя было введено правильно и повторите попытку. Или выполните команду Пуск=>Найти. Вот так! Как быть
-
Восстановите его из дистрибутива
-
-
Junior Member
- Вес репутации
- 50
Подскажи почему я не могу запустить реестр! И папку Виндоус не найду? Вирус заблокировал! Или в скрипте дело???
-
Папка windows может быть скрыта. Вы через проводник смотрите?
-
-
Junior Member
- Вес репутации
- 50
Да и через проводник и просто так через Мой компьютер! и в свойствах папки ставлю галку Показывать скрытые папки и файлы! ни как!
-
Сообщение от
distroy
Да и через проводник и просто так через Мой компьютер
это одно и то же.
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Компьютер перезагрузится
так видно?
-
-
Junior Member
- Вес репутации
- 50
Это Удаление всех ограничений (Policies) для текущего пользователя. с 6-ой. А с 8-ой не знаю! Вообщем я даже через Групповую политику пробовал, но там стоит в Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Сделать недоступными средства редактирования реестра в Свойствах Не задано, как по умолчанию должно быть! А с восьмёркой поясни ExecuteRepair(?
-
Если Вам так интересно - восстановление настроек проводника...
-
-
Junior Member
- Вес репутации
- 50
Да очень интересно просто вслепую не привык действовать извини если что не так!
Добавлено через 7 минут
Нет Виндоус не видно!
Последний раз редактировалось distroy; 25.09.2010 в 22:33.
Причина: Добавлено