Показать полную графическую версию : [решено] Вирус блокирует команду "Выполнить"
Victoriya
27-07-2011, 11:05
Здравствуйте!
После захода на некоторые сайты начались проблемы с компьютером:
-не удаётся запустить команду "Выполнить";
-при попытке зайти на сайт "Вконтакте" появляется поле ввода логина и пароля, а потом появляется окно с просьбой ввести телефон для отправки какого-то кода. Я изменяла файл hosts, после этого работает всё нормально, но при перезагрузке файл hosts опять подменяется вирусом;
-не заходит в Documents and Settings в папку Admin, а так же в папку Common Files;
Сканировала NODом, нашла кучу вирусов, но от проблем не избавилась :(
Помогите пожалуйста!
alex_sev
27-07-2011, 11:29
Смотрю логи, скоро отвечу
Скачайте RKill by Grinler на рабочий стол по одной из этих ссылок:
eXplorer.exe (http://download.bleepingcomputer.com/grinler/eXplorer.exe)
iExplore.exe (http://download.bleepingcomputer.com/grinler/iExplore.exe)
WiNlOgOn.exe (http://download.bleepingcomputer.com/grinler/WiNlOgOn.exe)
uSeRiNiT.exe (http://download.bleepingcomputer.com/grinler/uSeRiNiT.exe)
Отключите антивирусное ПО и запустите программу.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь окончания работы программы и формирования лога который будет находиться по адресу C:\rkill.log. Прикрепите его к своему сообщению.
Не перезагружая компьютер, выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\lsass.exe');
QuarantineFile('C:\WINDOWS\Installer\2076ca.msi','');
QuarantineFile('c:\documents and settings\admin\application data\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\2735.tmp','');
QuarantineFile('C:\WINDOWS\system32\2736.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\Fs_soidv.sys','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\timing.txt','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe');
DeleteFile('C:\WINDOWS\system32\2735.tmp');
DeleteFile('C:\WINDOWS\system32\2736.tmp');
DeleteFile('C:\Documents and Settings\Admin\Application Data\timing.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
Повторите логи AVZ и RSIT (http://safezone.cc/forum/showthread.php?goto=newpost&t=15)
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Victoriya
27-07-2011, 15:07
Всё сделала как вы сказали!
Теперь вроде как всё работает!
Большое спасибо!
alex_sev
27-07-2011, 15:49
Удалите в MBAM только следующие строки:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
c:\program files\Opera\0.07197713488523783.exe (Backdoor.Bot) -> No action taken.
c:\system32.exe (Trojan.Downloader) -> No action taken.
Если Вы не создавали этот файл найдите и удалите вручную:
C:\WINDOWS\system32\operaprefs_fixed.ini
Как самочувствие системы?
Victoriya
27-07-2011, 17:11
Хорошо, спасибо, а остальные что за файлы?
С системой вроде пока всё в порядке :)
alex_sev
27-07-2011, 17:22
Эти сейчас удалим другим способом:
c:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP115\A0022647.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0022894.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0022891.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0023125.exe (Backdoor.Bot) -> No action taken.
d:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0022918.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{44345dab-96e8-4d9a-a1c5-4c9f4f525f59}\RP118\A0022919.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{64a6594c-09b9-45c8-8880-ba235290de43}\RP324\A0040738.EXE (Hacktool.Agent) -> No action taken.
d:\system volume information\_restore{64a6594c-09b9-45c8-8880-ba235290de43}\RP324\A0040772.EXE (Hacktool.Agent) -> No action taken.
Это Ваши кряки и кейгены MBAM их не любит, могут быть и вредоносны, на Ваше усмотрение:
d:\программы\abbyy finereader professional v8.0.706 (официальная русская версия)\Crack\twk-fr8fixpatch.exe (Trojan.Dropper) -> No action taken.
d:\программы\abbyy finereader professional v8.0.706 (официальная русская версия)\Crack\patch на finereader 8.0 professional edition\twk-fr8fixpatch.exe (Trojan.Dropper) -> No action taken.
d:\программы\для компа\coreldraw[3\Crack\cdrsuitkg.exe (RiskWare.Tool.CK) -> No action taken.
d:\программы\для компа\nero 6.6.0.8a\Keygen.exe (Trojan.Agent) -> No action taken.
d:\программы\файнридер\finereader 10\finereader.10.0.101.56\finereader.10.x.x-patch-plus.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\программы\файнридер\finereader 10\finereader.10.0.101.56\finereader.10.x.x-unipatch.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files\WinRAR\original\rar slayer v1.1.exe (Malware.Tool) -> No action taken.
Это RKill, которым мы воспользовались, его действия похожи на вредные (завершение процессов), но на самом деле используется для благих целей:
c:\documents and settings\Admin\рабочий стол\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Внимание! Смените все пароли ICQ, Контакт, Почта итд
Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows (http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5) и антивирусного продукта (обновлять антивирусные базы и модули)
Обновите до последних версий:
Adobe Flash Player (http://get.adobe.com/ru/flashplayer/otherversions/)
Foxit Reader (http://www.foxitsoftware.com/products/reader/)
Java (http://safezone.cc/forum/showthread.php?t=322)
Internet Explorer (http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie)
Victoriya
27-07-2011, 20:43
Спасибо большое!
Всё сделала!
alex_sev
27-07-2011, 22:29
Молодец, желаю больше не болеть
Victoriya
27-07-2011, 23:08
Спасибо ещё раз :)
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.