Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Файл ехе. не является приложением win 32 (http://forum.oszone.net/showthread.php?t=249085)

Volkodav767 13-12-2012 21:57 2044848
Файл ехе. не является приложением win 32
 
Вложений: 2
На новой винде все работало нормально, но вот сегодня скачал приложение и оно мне выдало ошибку "файл Autorun.exe не является приложением win 32". На вирусы проверил, все чисто(
Логи сделал по инструкции, помогите пожалуйста.

thyrex 13-12-2012 23:05 2044892
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\08931704588q.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\45y0r1.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\08931704588q.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\45y0r1.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
Обновите базы AVZ

Сделайте новые логи

Volkodav767 14-12-2012 19:00 2045387
Вложений: 1
Вот Логи, сделал только что.
c:\quarantine.zip отправил по форме.

alex_sev 14-12-2012 20:56 2045425
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Volkodav767 14-12-2012 22:25 2045480
Вложений: 1
Готово.

alex_sev 14-12-2012 22:38 2045491
Повторите сканирование и удалите все кроме этого:

Код:
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Проверимся на уязвимости:
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

Volkodav767 06-01-2013 20:07 2060425
Вложений: 2
Цитата:
Цитата alex_sev
Повторите сканирование и удалите все кроме этого:
Код:
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> »
Удалил все, кроме етого вот какой лог мне дало.

Цитата:
Цитата alex_sev
Проверимся на уязвимости:
Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Проверил, вот лог
Скопируйте содержимое файла в свое следующее сообщение. »

SolarSpark 06-01-2013 20:46 2060446
Java(TM) 6 Update 21 v.6.0.210 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^

обновитесь!


___________________

В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

Volkodav767 06-01-2013 23:45 2060580
ы
Цитата:
Цитата SolarSpark
Java(TM) 6 Update 21 v.6.0.210 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
обновитесь! »
Все равно не помогло(

SolarSpark 07-01-2013 09:00 2060833
Volkodav767,
а что должно было помочь? закрытие дыры?

1)
Цитата:
Цитата alex_sev
Отправлено: 22:38, 14-12-2012 »
слишком большой разрыв в лечении, с последнего поста хелпера почти месяца прошел! Могли заразиться по новой, Предоставьте свежий комплект логов

2) Забыли
Цитата:
Цитата SolarSpark
В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению. »
Как мне вас от вебалты избавлять?


Время: 12:04.

Время: 12:04.
© OSzone.net 2001-