|
Не запускаются exe файлы
Вложений: 1
Здравствуете.
Прошу помощи в лечении компьютера. Операционная система - WinXP (сервиспак не знаю). Установлен антивирус KIS7.0 (но был временно отключен). Система была чем-то заражена. В итоге exe файлы не запускаются - выводится предложение указать чем именно открывать данный файл. Данная ошибка "лечится" либо открыванием с помощью самого запускаемого файла, либо сменой расширения на com. При попытке посмотреть свойства системы, свойства рабочего стола и т.д. выводится сообщение о том, что приложение c:\windows\system32\rundll32.exe не найдено, хотя сам файл лежит на месте (собственно поэтому и сервис пак не знаю). Странно - но диспетчер задач запускается без проблем. Да и regedit при запуске из cmd также запускается без проблем (хотя при запуске через Пуск-Выполнить - спрашиваетс помощью чего открывать). К настоящему времени удалось просканировать с помощью KIS с поледними базами в безопасном режиме - были найдено следующее: Trojan.Win32.Autoit.ut Trojan.Win32.Autoit.fj Trojan.Win32.Midgare.uik Packed.Win32.Klone.bj Kaspersky Virus Removal Tool не устанавливается - в процессе установки виснет. CureIt не работает - после нажатия кнопки Пуск->Запустить проверку сразу выводится предложение попробовать бесплатно полную версию. Экспорт ветки реестра HKEY_CLASSES_ROOT\exefile со здоровой машины ничего не дал - exe файлы по прежнему не запускаются. Что можно сделать кроме полной переустановки системы? Спасибо |
Цитата:
Попрбуем запустить exe файлы AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Код:
beginОчистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее можно прочитать в руководстве Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. |
Вложений: 1
akok, скрипт не помог - exe файлы по прежнему не запускаются. Поэтому не работает combofix - сначала он спросил как запустить iexplore.exe (я ему скормил родной - C:\Program Files\Internet Explorer\), потом спросил как запустить hidec.exe - попробовал ему этот файл скормить, но вылезла ошибка - см. аттач. Файл hidec.exe спрашивался несколько раз и каждый раз с ошибкой, поэтому в итоге отказался от дальнейших действий - на запрос нажал нет. Поэтому же не запускал gmer - по принципу как бы не навредить.
Или напрасно я все отменил и все шло хорошо? Спасибо |
|
akok, все что делал - делал только в безопасном режиме. dds.scr не работает - также спрашивает с помощью чего открывать, указываю сам файл на рабочем столе. Потом просит cmd.exe - указываю cmd.exe, появляется окно консоли с текущим путем c:\temp\rarsfx1\, после чего секунд через 20 процесс dds.scr завершается (видно по диспетчеру задач) и никаких файлов не появляется, окно консоли не закрывается автоматически. Куда дальше копать?
|
хм.
Продолжим. Скачиваем полиморфную версию AVZ и готовим логи. Потом попробуйте: Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. (если не запускается переименуйте во что-то нейтральное.... ddd.com например) Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. |
akok, вот логи от полиморфного avz. Чуть позже выложу остальные
|
Вложений: 2
А вот логи от rsit
|
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM by OldTimer (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код:
:ProcessesПрим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. И попробуйте воспользоваться рекомендациями из этой темы. |
akok, вот содержимое log-файла программы OTM by OldTimer (содержимое окна под правой зеленой панелью скопировать не смог - все процессы были звершены и я ничего не мог открыть вообще чтобы куда-то этот текст вставить):
Цитата:
|
Однако не все так плохо :)
Vетод математичсекого тыка еще никто не отменял. Создал нового пользователя и загрузился под ним - все работает. Как теперь привести в соответствие пользователя Администратор? |
Michael, давайте проверим систему cureit
|
В безопасном режиме или нет? И под каким пользователем - под проблемным или под новым нормальным?
|
Под нормальным. В безопасном режиме. Посмотрим, что еще живет в той учетке.
|
Проверка прошла успешно - было найдено 2 инфицированных, 2 потенциально опасных и 1 программа взлома. Правда все они были в папке одной софтины (точнее комплекта софта) которую я сам также использую и ни на одном компе таких проблем с exe файлами больше не было ни разу
|
Странно, но все работает даже под администратором. Подозреваю что все исправилось после чистки реестра или с помощью CCleaner или с помощью Advanced registry doctor.
|
В общем проблема решена успешно, выирусы вылечены, exe файлы запускаются.
akok - спасибо за участие. |
| Время: 09:22. |
Время: 09:22.
© OSzone.net 2001-