Orion222 Опубликовано 11 января, 2010 Жалоба Поделиться Опубликовано 11 января, 2010 Здравствуйте. Пример. Создаём ярлык к любой папке, на любом разделе. При попытке открыть папку через сей ярлык, имеем это: "Приложение, выполняющее эту операцию, указанному файлу не сопоставлено.Произведите сопоставление с по- мощью панели управления "Свойства папки". Действует это только и только на папки. Любые другие (exe, txt и т.д.) через ярлык открываются. На вирусы про- верено, хотя и есть подозрение, что это последствия како- го-то виря. Создавал тему в другой ветке, направили сюда. Правила раздела выполнил, логи прилагаю. Могу добавить, что через F8 не включается меню опций отладки и дополни- тельных режимов загрузки ( только через msconfig) и штат- ная утилита "Очистка диска" видит корзину всегда пустой, даже если в ней гиг мусора. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 11 января, 2010 Жалоба Поделиться Опубликовано 11 января, 2010 (изменено) Здравствуйте. Выполните скрипт авз beginQuarantineFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE',' ');end. После выполните второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта в папке авз будет сформирован файл карантина quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. Изменено 11 января, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 11 января, 2010 Автор Жалоба Поделиться Опубликовано 11 января, 2010 При выполнении первого скрипта AVZ пишет:"скрипт выполнен без ошибок". Однако внизу окна, в протоколе, красным шрифтом выводится:" Ошибка ка- рантина файла, попытка прямого чтения (C:\Windows\sistem32\XP-80EBCE3B.EXE) Карантин с использованием прямого чтения- ошибка." Второй скрипт - нормально. В результате создаётся пустой архив. Что неправильно сделал? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 11 января, 2010 Жалоба Поделиться Опубликовано 11 января, 2010 Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE','');DeleteFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта в папке авз будет сформирован файл карантина quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 11 января, 2010 Автор Жалоба Поделиться Опубликовано 11 января, 2010 А это нормально, архив получился всего 602 байта. После выполнения первого скрипта, в протоколе половина красным прописано, прочитать не успеваю, перезагруз начинается. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 11 января, 2010 Жалоба Поделиться Опубликовано 11 января, 2010 Похоже на историю с Trojan-Downloader.Win32.VB beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE','');DeleteFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE');DelAutorunByFileName('C:\WINDOWS\system32\XP-80EBCE3B.EXE');BC_ImportALL;ExecuteSysClean; BC_Activate;ExecuteRepair(8);ExecuteRepair(19); RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта в папке авз будет сформирован файл карантина quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. Если карантин окажется пустым сильно не переживайте Повторите логи Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 А получается та же история, архив 602 байта. Вот часть протокола, после выполнения первого скрипта. И чёрт бы побрал этот XP-80EBCE3B.EXE, нет его в папке sistem32 и вообще нет на диске. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 Пожалуйста повторите логи. И не нужно нервничать. :bleh: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 Повторил всё заново. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 Orion222 Файл удалился, но в карантин не попал. Ничего другого опасного в системе не обнаружено. Пофиките в HJT строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe Для восстановления файловых ассоциаций распакуйте и запустите reg файл fix_lnk.rar fix_lnk.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 М-да. Спасибо за помощь, но, стало быть закавыка не в вирусе заключалась. Ибо всё то, о чём писал в первом посте так и осталось. Да ещё до кучи обнару- жил, что в "Очистке диска", при попытке посмотреть файлы в корзине (скрин) выдаёт то же самое. Вот такие пироги... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 Попробуйте создать новую учетную запись, посмотрите наблюдаются ли там такие же безобразия. Если да, вставьте загрузочный диск с дистрибутивом windows откройте командную строку наберите sfc /scannow система восстановит системные файлы и некоторые настройки, возможно попадет и по вашим проблемам. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 Спасибо, буду пробовать. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 edde: Попробовал другую учётную запись, всё без изменений. А вот с sfc /scannow неувязка вышла. Система загрузочный диск не узнаёт. У меня SP2 стояла, а позже скачал обновление SP3, видимо поэтому. Другого способа нет? Или бро- сить это до лучших времён. ОС переустанавливать нежелательно. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 Проверьтесь еще http://www.eset.com/onlinescan/ Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 Сейчас попробую. По ходу дела обнаружил, что нельзя через ярлык открыть Корзину, Мои документы, Мой компьютер, что неудивительно, это тоже папки. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 В командной строке выполните assoc.lnk=lnkfile выполните assoc скопируйте, вставьте в следующее сообщение Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 Проверьтесь еще http://www.eset.com/onlinescan/ Просканировал, всё в норме. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 12 января, 2010 Автор Жалоба Поделиться Опубликовано 12 января, 2010 В командной строке выполните assoc.lnk=lnkfile выполните assoc скопируйте, вставьте в следующее сообщение Поясните, не понял. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 12 января, 2010 Жалоба Поделиться Опубликовано 12 января, 2010 Пуск\ выполнить\ cmd В открывшемся черном окне там где мигает курсор наберите assoc.lnk=lnkfile Ассоциации ярлыков lnk будут восстановлены Далее наберите assoc - по умолчанию покажет все ассоциации файлов, доберитесь до строки lnk и убедитесь что она присутствует .lnk=lnkfile Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 13 января, 2010 Автор Жалоба Поделиться Опубликовано 13 января, 2010 Пуск\ выполнить\ cmd В открывшемся черном окне там где мигает курсор наберите assoc.lnk=lnkfile Ассоциации ярлыков lnk будут восстановлены Далее наберите assoc - по умолчанию покажет все ассоциации файлов, доберитесь до строки lnk и убедитесь что она присутствует .lnk=lnkfile Произвёл сию манипуляцию. Вот скрин. Выше строк просто нет,пять раз пробовал. Они ведь по алфавиту, начало, что ли обрезается. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 13 января, 2010 Жалоба Поделиться Опубликовано 13 января, 2010 Ладно результаты хоть есть, ссылки заработали? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 13 января, 2010 Автор Жалоба Поделиться Опубликовано 13 января, 2010 Никаких изменений. Да, я не упоминал, что безопасный режим включал через msconfig. В штатном режиме (через F8) меню отладки и дополнительных загру- зок не работает. Вместо него синее окно на чёрном фоне, с предложением за- грузить ОС с флоппи, винта или DVD-ROM. Может это другая песня, но меня снова на мысль о вирусе наводит. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 13 января, 2010 Жалоба Поделиться Опубликовано 13 января, 2010 (изменено) Выполните скрипт авз beginExecuteRepair(1);ExecuteRepair(8); ExecuteRepair(10); RebootWindows(true);end. Компьютер перезагрузится это должно восстановить параметры запуска safe boot Давайте еще лог CF посмотрим Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Изменено 13 января, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Orion222 Опубликовано 13 января, 2010 Автор Жалоба Поделиться Опубликовано 13 января, 2010 edde: Спасибо большое за помощь. Вопрос решился другим способом. На схожем форуме, после проверки нескольких веток реестра, выяснилось, что у меня недостаёт двух ключей. Добавил в ре- естр и всё восстановилось. Если интересно: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Folder\shell\explore\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\ 65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\ 00,25,00,49,00,2c,00,25,00,4c,00,00,00 [HKEY_CLASSES_ROOT\Folder\shell\open\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\ 65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\ 00,25,00,4c,00,00,00 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.