Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не запускаются exe - файлы (http://forum.oszone.net/showthread.php?t=109096)

ECSORTIM 13-06-2008 19:47 825316
Не запускаются exe - файлы
 
Вложений: 2
САБЖ.
Сделала логи AVZ и DSS, лог HijackThis сделать не удалось из-за того, что не запустился notepad.exe.
Вот логи:

Vadikan 13-06-2008 20:19 825339
Восстановление ассоциирования .exe, .reg и .lnk файлов

Pili 13-06-2008 21:00 825364
Цитата:
Восстановление системы: включено
- отключите
Скачайте IceSword
Запустите, выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
Цитата:
C:\WINDOWS\system32\DRIVERS\Eumk70.sys
c:\windows\system32\drivers\xaa54.sys
C:\WINDOWS\system32\WinNt64.dll
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\ntos.exe
нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to..., потом удалите файлы с помощью force delete (прав. кн. мыши, на запрос подтверждения ответьте "да").
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Eumk70');
 SetServiceStart('Eumk70', 4);
 QuarantineFile('C:\Program Files\IBM\SQLLIB\itma\TMAITM6\kracth.dll','');
 QuarantineFile('c:\windows\system32\drivers\xaa54.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\Documents and Settings\1\schosst.exe','');
 DeleteFile('C:\Documents and Settings\1\schosst.exe');
 DeleteFile('c:\windows\system32\drivers\xaa54.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\Eumk70.sys');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
 DeleteService('Eumk70');
ExecuteSysClean;
BC_Activate;
 BC_DeleteSvc('Eumk70');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Eumk70.sys');
 BC_DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
BC_ImportAll;
DelWinlogonNotifyByFileName('WinNt64.dll');
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Присоедените к карантину файлы, скопированные с помощью IceSword или вложите эти файлы в отдельный архив (напр. virus.rar), не забудьте поставить на архив пароль virus
Файлы quarantine.zip и virus.rar выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файлы на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe (уже должен запуститься), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\system32\WinNt64.dll
Повторите логи.


Время: 17:46.

Время: 17:46.
© OSzone.net 2001-