.exe virus
#1
Отправлено 31 Август 2014 - 15:56
#2
Отправлено 31 Август 2014 - 15:56
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 31 Август 2014 - 16:06
. извените за ошибку андроид изменил словоЯ скачал вредоносный файл сам того не зная.Вирус был в архиве как только я открыл архив он закрылся и все перестало работать Опера закрылась и перестали запускаться .exe файлы. Ничего не работает даже диспетчер задач только реестр.
#4
Отправлено 31 Август 2014 - 16:35
Логи где?
#5
Отправлено 31 Август 2014 - 16:38
С помощью редактора реестра разблокировать диспетчер задач, починить ассоциации. Можно также попробовать воспользоваться LiveDisk (CD/USB). Вот простейший скрипт. Вам необходимо скопировать его "как есть" со страницы и сохранить в редакторе (Блокноте), задав произвольное имя и расширение .vbs (Меню Файл -> Cохранить как..., Тип файла -> Все файлы). Например, 1.vbs
Помните, что запускать скрипты или вводить команды следует с правами Администратора. Для того, чтобы открыть консоль (cmd) с правами Администратора, необходимо НАЙТИ файл cmd.exe и запустить его от имени Администратора (щелкнув по нему правой кнопкой мыши и выбрав из появившегося меню запуск от имени Администратора).
Итак, скрипт, разблокирующий диспетчер задач, редактор реестра и запускающий оболочку (explorer.exe):
set WSHShell = CreateObject("WScript.Shell") On Error Resume Next WSHShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe" WSHShell.RegDelete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\" WSHShell.RegDelete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\debugger" WSHShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\disableregistrytools" WSHShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disableregistrytools" WSHShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr" WSHShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr" WSHShell.Run "%windir%\explorer.exe"
Если командная строка работает - прямо в ней вводим последовательно строчки (внимательно! каждая строка REG ADD.... или REG DELETE.... - это одна команда, независимо от возможных переносов длинных строк в окне вашего браузера):
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe, /f REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 145 /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe" /f REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
Иногда встречаются ситуации, при которых запуск исполняемых файлов (*.com, *.exe, *.cmd, *.bat, *.vbs) тоже оказывается блокирован. В этом случае можно попробовать воспользоваться INF-файлом, который приведен ниже. Алгоритм действий - скопировать, вставить в Блокнот, сохранить с расширением .inf (например, unlock.inf). Затем можно установить этот файл, кликнув на нем правой кнопкой мыши и выбрав пункт Установить из открывшегося контекстного меню.
[Version] Signature=$CHICAGO$ ; Версия файла: 3.33 [DefaultInstall] AddReg=Add.Settings DelReg=Del.Settings [Add.Settings] HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0x10001,0x00000000 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,0x10001,0x00000001 HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x10001,0x00000001 HKCR,exefile\shell\open\command,"",0x0,"""%%1""" %%*" HKCR,batfile\shell\open\command,"",0x0,"""%%1""" %%*" HKCR,cmdfile\shell\open\command,"",0x0,"""%%1""" %%*" HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions,0x10001,0x00000000 HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x10001,0x00000000 HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr,0x10001,0x00000000 [Del.Settings] HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\start.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\startf.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sfc.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt.exe HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bat HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cmd HKU,.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 HKLM,SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableConfig
#6
Отправлено 31 Август 2014 - 16:43
Dmitry_rus, зачем воевать заранее неизвестно с чем?
У меня вообще подозрение, что у пользователя Sality/Sector
#7
Отправлено 31 Август 2014 - 16:47
В любом случае, CureIt и LiveDisk ему в помощь. Логов нет, так что по поводу сектора остается лишь гадать. Возможно, именно он. Ждем более подробных сообщений.
#8
Отправлено 31 Август 2014 - 20:58
Я не сильно умён в этой областе но я открыл командную строку и написал туда вот это set WSHShell = CreateObject("WScript.Shell")
On Error Resume Next , а когда написал WSHShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe мне в ответ консоль написала : " WSHShell.RegWrite не является внутренней или внешней
командой , исполняемой командой или пакетным файлом." Так и должно быть или я неправельно делал?
#9
Отправлено 31 Август 2014 - 21:40
kolya319, подождите. Для начала попробуйте пролечиться утилитой Dr.Web LiveDisk. Она должна восстановить ассоциации файлов, если они сбились, ну а если это файловый вирус (Neshta, Jeefo, Sector, etc...), то он это тоже умеет лечить.
http://www.freedrweb.com/livedisk/
Можно на диск записать, можно на USB флешку.
#10
Отправлено 01 Сентябрь 2014 - 00:12
Так и должно быть или я неправельно делал?Неправильно делал. Вроде было написано довольно понятным языком, что всю эту последовательность команд нужно было сохранить в файле с расширением vbs, и уже его запускать.
#11
Отправлено 01 Сентябрь 2014 - 06:34
kolya319, Загляните в ЛС.
#12
Отправлено 01 Сентябрь 2014 - 10:59
какое может быть само лечение без логов, это как картошку на луне ща ищем
#13
Отправлено 01 Сентябрь 2014 - 12:56
Что такое логи и где их взять?
#14
Отправлено 01 Сентябрь 2014 - 13:00
Прочитать сообщение № 2 в этой теме.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых