Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Проблема с cmd,и *bat (http://forum.oszone.net/showthread.php?t=216217)

Anime500 22-09-2011 14:57 1758148
Проблема с cmd,и *bat
 
Вложений: 2
Здраствуйте Уважаемые форумчане.
Появилась такая проблема,при открытие *bat файла,он на доли секунды открывается,так-же как и cmd.exe.
Так - же заметил tcpwamnlib.exe,в c:\windows\system32\tcpwamnlib.exe.
И в подобных папках,i7542,i7768,в разделе c:\windows\system32\,появляются файлы такого вида,d001.exe,d002.exe,и заодно вместе с ними небольшой *bat файл
Такого содержания -

for %%i in (*.exe) do start %%i
for %%i in (*.exe) do %%i
del /f /q %0%

Всё делал по инструкции http://forum.oszone.net/thread-98169.html

Буду очень признателен за помощь.

iskander-k 22-09-2011 18:41 1758310
ваш провайдер ?

Код:
80.80.111.244
address: Digital Telephone Lines
address: 215/3, Stachky av.,
address: 344091 Rostov-on-Don
address: Russia
address: Digital Telephone Lines
address: 215/3, Stachky av.,
address: 344091 Rostov-on-Don
address: Russia
hamachi вы устанавливали ?

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{560B60BA-A995-42CB-A6C7-1866F163F5AB}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EDBD2E8-79DB-436C-8AD9-A856DD3BCE14}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA9D6083-AFD3-4B2A-A509-0C24E279AA01}: NameServer = 8.8.8.8,8.8.4.4


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\ALSysIO.sys','');
 QuarantineFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\Hgd.exe','');
 QuarantineFile('C:\WINDOWS\Hhysaa.exe','');
 QuarantineFile('XeYEgewf.sys','');
 DeleteFile('XeYEgewf.sys');
  DeleteFile('C:\WINDOWS\Hhysaa.exe');
 DeleteFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\ALSysIO.sys');
 DeleteFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\Hgd.exe');
DeleteService('XeYEgewf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.



•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Anime500 22-09-2011 19:50 1758345
Вложений: 1
Да провайдер мой,хамачи тоже Я устанавливал.
quarantine.zip отправил с пометкой на эту тему.
Теперь запускаются *bat файлы,но почему изчез Интернет,после использования ComboFix.
Пробывал перезагрузиться,его нету.

Add -
Сервис Рабочая Станция,не запускается,а Веб-клиент,в состояние "Stopping".

iskander-k 23-09-2011 13:10 1758721
Цитата:
Цитата Anime500
изчез Интернет »
пропал после комбофикса или после фикса HiJackThis ?

какой вид подключения у вас ? Подключается инет но нет возможности просматривать страницы ? Или невозможно подключиться ?

Anime500 23-09-2011 13:15 1758725
Пропал после комбофикса.Прямой кабель к компьютеру,без роутера,или маршрутизатора.
Он подключается,но не просматривать страницы,или использовать другими приложениями,нельзя.

iskander-k 23-09-2011 13:40 1758744
Попробуйте откатить на предыдущую точку в системе восстанвления. Если она у вас не отключена.

P.S.Что за сборка Windows у вас ? Первый раз такую вижу .

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
Код:
quit::
DeQuarantine::
C:\Qoobox\Quarantine\c:\windows\system32\odbcad32.exe
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Вставьте в привод диск с дистрибутивом Windows
в меню --Пуск-- Выполнить -- введите sfc /scannow

Anime500 23-09-2011 14:06 1758757
Вложений: 1
Windows Xp,Sp 3.
К сожалению очень давно устанавливал данную систему,и не имею её дистрибута.

iskander-k 23-09-2011 19:31 1758973
После лечения вам нужно будет поменять ВСЕ ваши пароли !



• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
Код:

DeQuarantine::
C:\Qoobox\Quarantine\c:\windows\system32\odbcad32.exe.vir
C:\Qoobox\Quarantine\c:\windows\system32\comct332.ocx.vir
C:\Qoobox\Quarantine\c:\windows\system32\Config.cfg.vir
quit::


• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
Код:
KillAll::
NetSvc::
SSHNASnetsvcs_0x0
netsvcs_0x1
netsvcs_0x2
netsvcs_0x3
netsvcs_0x4
netsvcs_0x5

File::

Driver::

Folder::

Registry::

FileLook::

DirLook::
c:\windows\system32\i8603
c:\windows\system32\i2715
c:\windows\system32\i9225
c:\windows\system32\i2980
c:\windows\system32\NtmsData
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

И сделайте этот лог ->http://safezone.cc/forum/showthread.php?t=15334


Время: 23:08.

Время: 23:08.
© OSzone.net 2001-