Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Перестали открываться exe-файлы (http://forum.oszone.net/showthread.php?t=200520)

MadMax1982 26-02-2011 08:54 1622086
Перестали открываться exe-файлы
 
Вложений: 2
Ни с того, ни с сего перестали открываться exe-файлы, а именно файлы DOS-программ, остальные запускаются. Проверка на вирусы ничего не показала, может даже и вирус не виноват, на всякий случай выкладываю логи.

goredey 26-02-2011 11:23 1622143
MadMax1982, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\temp\clhexayv.sys','');
 DeleteFile('c:\temp\clhexayv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме

Пофиксить в HijackThis следующие строчки
Код:
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
O24 - Desktop Component 0: (no name) - (no file)
Проверьте на вирустотал этот файл
Код:
c:\program files\toolbho\module.dll
Ссылку на результат запостите здесь!


Повторите логи
+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

MadMax1982 28-02-2011 04:55 1623394
Вложений: 4
1. Файл quarantine.zip отправил
2. Ссылка Вирустотал - http://www.virustotal.com/file-scan/...c3e-1298857598
3. Логи прицепил
4. Сообщение MBAM

Код:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5750

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.02.2011 9:22:36
mbam-log-2011-02-28 (09-22-12).txt

Scan type: Full scan (C:\|D:\|F:\|H:\|)
Objects scanned: 265063
Time elapsed: 16 minute(s), 47 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 9
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 1
Files Infected: 13

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{F0E06662-71F5-4fb0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4ECB0173-D952-42C3-802A-E3B04E5AD127} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{CAFDA1CA-DD5F-41DC-BE5D-9E06E01E510C} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl.1 (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl (Adware.LinkPlacing) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\AppID\LinkPlacing.DLL (Adware.LinkPlacing) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Folders Infected:
c:\documents and settings\User\application data\winxrar (Trojan.Agent) -> No action taken.

Files Infected:
c:\program files\ToolBHO\module.dll (Adware.LinkPlacing) -> No action taken.
c:\WINDOWS\system32\green fields 3d.scr (Malware.Packer.Gen) -> No action taken.
d:\Distr\site\wsex5files\keygen website x5 rus.exe (Trojan.Dropper.PGen) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE (Trojan.Backdoor) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\c4dedf3f4df0882dd06f93ca88316ea38192dce0\windoc.exe (Trojan.Backdoor) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\User\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\left.png (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\s.htm (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\sview (Trojan.Agent) -> No action taken.
Все, что нашел MBAM - убил. Надо было?

goredey 01-03-2011 13:29 1624412
MadMax1982, удалите в МВАМ
Код:
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{F0E06662-71F5-4fb0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4ECB0173-D952-42C3-802A-E3B04E5AD127} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{CAFDA1CA-DD5F-41DC-BE5D-9E06E01E510C} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl.1 (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl (Adware.LinkPlacing) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\AppID\LinkPlacing.DLL (Adware.LinkPlacing) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Folders Infected:
c:\documents and settings\User\application data\winxrar (Trojan.Agent) -> No action taken.

Files Infected:
c:\program files\ToolBHO\module.dll (Adware.LinkPlacing) -> No action taken.

d:\мои документы\Проги\norton windoctor\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE (Trojan.Backdoor) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\c4dedf3f4df0882dd06f93ca88316ea38192dce0\windoc.exe (Trojan.Backdoor) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\User\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\left.png (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\s.htm (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\sview (Trojan.Agent) -> No action taken.
Смните все ваши пароли!


Пофиксить в HijackThis следующие строчки
Код:
O24 - Desktop Component 0: (no name) - (no file)

Что с проблемой?

MadMax1982 02-03-2011 02:15 1625004
goredey, все удалил, в HijackThis строчку пофиксил, но она не исчезла после повторного сканирования.

Проблема не исправилась. Что делать?

SolarSpark 02-03-2011 07:43 1625054
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ExecuteRepair(1);
RebootWindows(true);
end.
Если ассоциации не восстановятся, выполните твик реестра. скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg
Кликните по файлу и подтвердите добавление в реестр.

Код:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

Katharsis 02-03-2011 15:19 1625413
лог mbam повторите

MadMax1982 03-03-2011 04:38 1625970
Вложений: 1
Все сделал, ничего не поменялось
Лог MBAM:
Код:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5750

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.03.2011 11:33:53
mbam-log-2011-03-03 (11-33-48).txt

Тип сканирования: Полное сканирование (C:\|D:\|F:\|)
Просканированные объекты: 264848
Времени прошло: 16 минут, 11 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 0
Заражённые папки: 0
Заражённые файлы: 3

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
d:\Distr\Office\pdf\adobe acrobat 8 professional\keygen_zwt_adobe_acrobat_8_professional.exe (Backdoor.Bot) -> No action taken.
d:\Distr\Office\pdf\adobe acrobat 8 professional\аctivate.exe (Trojan.Downloader) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe (Trojan.Backdoor) -> No action taken.

Katharsis 04-03-2011 12:54 1627097
Цитата:
Цитата MadMax1982
перестали открываться exe-файлы, а именно файлы DOS-программ »
Так что именно у вас не открывается?
восстановление файловых ассоциаций

goredey 04-03-2011 13:08 1627102
Цитата:Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

MadMax1982 09-03-2011 06:17 1630430
Вложений: 1
Katharsis , открываются именно файлы, созданные для работы в MS-DOS (старая программа, написанная в конце 80-х годов) с расширением exe. Другие файлы с таким же расширением открываются.
Забыл указать, что при попытке запуска файла появляется сообщение:
Цитата:
Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту
. Также добавлю, что на компьютере я являюсь единственным администратором, пользователем, имею полные права.

goredey , лог ComboFix прицепил

goredey 09-03-2011 08:34 1630451
MadMax1982, Цитата:Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

RegLock::

[HKEY_USERS\S-1-5-21-789336058-1425521274-1606980848-1004\Software\Microsoft\SystemCertificates\AddressBook*]

DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Также проверьте на здесь этот файл
c:\windows\regedit.exe ссылку на результат запостите здесь

MadMax1982 10-03-2011 03:26 1631162
Вложений: 1
ComboFix.txt прикрепил
во время выполнения ComboFix после строки Completed Stage 2 вылетело окошко с ошибкой:

Заголовок - "PEV.cfxxe - Ошибка приложения"
Сообщение - "Исключение неизвестное программное исключение (0хс0000417) в приложении по адресу 0х00482899", после нажатия на ОК все пошло дальше. Это нормально?

Ссылка проверки c:\windows\regedit.exe - http://www.virustotal.com/file-scan/...467-1299716413

goredey 10-03-2011 19:21 1631744
MadMax1982, отключите антивирус и повторите скрипт

MadMax1982 11-03-2011 05:51 1632055
Вложений: 1
goredey , пардон, иногда мы с Др Вэбом друг друга не понимаем... прикрепил файл


Время: 23:09.

Время: 23:09.
© OSzone.net 2001-