Jump to content
СофтФорум - всё о компьютерах и не только

Подозрение на последствия вируса


Recommended Posts

Здравствуйте.

Пример. Создаём ярлык к любой папке, на любом разделе.

При попытке открыть папку через сей ярлык, имеем это:

"Приложение, выполняющее эту операцию, указанному

файлу не сопоставлено.Произведите сопоставление с по-

мощью панели управления "Свойства папки".

Действует это только и только на папки. Любые другие

(exe, txt и т.д.) через ярлык открываются. На вирусы про-

верено, хотя и есть подозрение, что это последствия како-

го-то виря. Создавал тему в другой ветке, направили сюда.

Правила раздела выполнил, логи прилагаю. Могу добавить,

что через F8 не включается меню опций отладки и дополни-

тельных режимов загрузки ( только через msconfig) и штат-

ная утилита "Очистка диска" видит корзину всегда пустой,

даже если в ней гиг мусора.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Link to comment
Share on other sites

Здравствуйте.

Выполните скрипт авз

beginQuarantineFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE',' ');end.

После выполните второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта в папке авз будет сформирован файл карантина quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Edited by edde
Link to comment
Share on other sites

При выполнении первого скрипта AVZ пишет:"скрипт выполнен без ошибок".

Однако внизу окна, в протоколе, красным шрифтом выводится:" Ошибка ка-

рантина файла, попытка прямого чтения (C:\Windows\sistem32\XP-80EBCE3B.EXE)

Карантин с использованием прямого чтения- ошибка."

Второй скрипт - нормально. В результате создаётся пустой архив. Что неправильно

сделал?

Link to comment
Share on other sites

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE','');DeleteFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта в папке авз будет сформирован файл карантина quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Link to comment
Share on other sites

А это нормально, архив получился всего 602 байта. После выполнения

первого скрипта, в протоколе половина красным прописано, прочитать

не успеваю, перезагруз начинается.

Link to comment
Share on other sites

Похоже на историю с Trojan-Downloader.Win32.VB

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE','');DeleteFile('C:\WINDOWS\system32\XP-80EBCE3B.EXE');DelAutorunByFileName('C:\WINDOWS\system32\XP-80EBCE3B.EXE');BC_ImportALL;ExecuteSysClean;  BC_Activate;ExecuteRepair(8);ExecuteRepair(19);  RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта в папке авз будет сформирован файл карантина quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Если карантин окажется пустым сильно не переживайте

Повторите логи

Link to comment
Share on other sites

А получается та же история, архив 602 байта. Вот часть протокола, после выполнения

первого скрипта. И чёрт бы побрал этот XP-80EBCE3B.EXE, нет его в папке sistem32 и

вообще нет на диске.

Screenshot_1.jpg

post-90181-1263271256_thumb.jpg

Link to comment
Share on other sites

Orion222

Файл удалился, но в карантин не попал. Ничего другого опасного в системе не обнаружено.

Пофиките в HJT строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

Для восстановления файловых ассоциаций распакуйте и запустите reg файл

fix_lnk.rar

fix_lnk.rar

Link to comment
Share on other sites

М-да. Спасибо за помощь, но, стало быть закавыка не в вирусе заключалась.

Ибо всё то, о чём писал в первом посте так и осталось. Да ещё до кучи обнару-

жил, что в "Очистке диска", при попытке посмотреть файлы в корзине (скрин)

выдаёт то же самое. Вот такие пироги...

______________lkz.jpg

post-90181-1263303436_thumb.jpg

Link to comment
Share on other sites

Попробуйте создать новую учетную запись, посмотрите наблюдаются ли там такие же безобразия. Если да, вставьте загрузочный диск с дистрибутивом windows откройте командную строку наберите sfc /scannow система восстановит системные файлы и некоторые настройки, возможно попадет и по вашим проблемам.

Link to comment
Share on other sites

edde:

Попробовал другую учётную запись, всё без изменений. А вот с sfc /scannow

неувязка вышла. Система загрузочный диск не узнаёт. У меня SP2 стояла, а

позже скачал обновление SP3, видимо поэтому. Другого способа нет? Или бро-

сить это до лучших времён. ОС переустанавливать нежелательно.

Link to comment
Share on other sites

Сейчас попробую. По ходу дела обнаружил, что нельзя через ярлык открыть

Корзину, Мои документы, Мой компьютер, что неудивительно, это тоже папки.

Link to comment
Share on other sites

Пуск\ выполнить\ cmd

В открывшемся черном окне там где мигает курсор наберите assoc.lnk=lnkfile

Ассоциации ярлыков lnk будут восстановлены

Далее наберите assoc - по умолчанию покажет все ассоциации файлов, доберитесь до строки lnk и убедитесь что она присутствует .lnk=lnkfile

Link to comment
Share on other sites

Пуск\ выполнить\ cmd

В открывшемся черном окне там где мигает курсор наберите assoc.lnk=lnkfile

Ассоциации ярлыков lnk будут восстановлены

Далее наберите assoc - по умолчанию покажет все ассоциации файлов, доберитесь до строки lnk и убедитесь что она присутствует .lnk=lnkfile

Произвёл сию манипуляцию. Вот скрин. Выше строк просто нет,пять раз пробовал.

Они ведь по алфавиту, начало, что ли обрезается.

cmd.GIF

post-90181-1263369299_thumb.jpg

Link to comment
Share on other sites

Никаких изменений. Да, я не упоминал, что безопасный режим включал через

msconfig. В штатном режиме (через F8) меню отладки и дополнительных загру-

зок не работает. Вместо него синее окно на чёрном фоне, с предложением за-

грузить ОС с флоппи, винта или DVD-ROM. Может это другая песня, но меня

снова на мысль о вирусе наводит.

Link to comment
Share on other sites

Выполните скрипт авз

beginExecuteRepair(1);ExecuteRepair(8);  ExecuteRepair(10);  RebootWindows(true);end.

Компьютер перезагрузится

это должно восстановить параметры запуска safe boot

Давайте еще лог CF посмотрим

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Edited by edde
Link to comment
Share on other sites

edde:

Спасибо большое за помощь. Вопрос решился другим способом.

На схожем форуме, после проверки нескольких веток реестра,

выяснилось, что у меня недостаёт двух ключей. Добавил в ре-

естр и всё восстановилось. Если интересно:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Folder\shell\explore\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\

65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\

00,25,00,49,00,2c,00,25,00,4c,00,00,00

[HKEY_CLASSES_ROOT\Folder\shell\open\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\

65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\

00,25,00,4c,00,00,00

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...