Перейти к содержимому


Фото
- - - - -

.exe virus


  • Please log in to reply
13 ответов в этой теме

#1 kolya319

kolya319

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 31 Август 2014 - 15:56

Я скачал вредоносный файл сам того не зная.Вирус был в архиве как только я открыл архив он закрылся и все перестало работать Опера закрылась и переплелись запускаться .exe файлы. Ничего не работает даже диспетчер задач только реестр.

#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 089 Сообщений:

Отправлено 31 Август 2014 - 15:56

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 kolya319

kolya319

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 31 Август 2014 - 16:06

Я скачал вредоносный файл сам того не зная.Вирус был в архиве как только я открыл архив он закрылся и все перестало работать Опера закрылась и перестали запускаться .exe файлы. Ничего не работает даже диспетчер задач только реестр.

. извените за ошибку андроид изменил слово

#4 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 31 Август 2014 - 16:35

Логи где?



#5 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 624 Сообщений:

Отправлено 31 Август 2014 - 16:38

С помощью редактора реестра разблокировать диспетчер задач, починить ассоциации. Можно также попробовать воспользоваться LiveDisk (CD/USB). Вот простейший скрипт. Вам необходимо скопировать его "как есть" со страницы и сохранить в редакторе (Блокноте), задав произвольное имя и расширение .vbs (Меню Файл -> Cохранить как..., Тип файла -> Все файлы). Например, 1.vbs
Помните, что запускать скрипты или вводить команды следует с правами Администратора. Для того, чтобы открыть консоль (cmd) с правами Администратора, необходимо НАЙТИ файл cmd.exe и запустить его от имени Администратора (щелкнув по нему правой кнопкой мыши и выбрав из появившегося меню запуск от имени Администратора).
Итак, скрипт, разблокирующий диспетчер задач, редактор реестра и запускающий оболочку (explorer.exe):

set WSHShell = CreateObject("WScript.Shell")
On Error Resume Next
WSHShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe"
WSHShell.RegDelete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\"
WSHShell.RegDelete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\debugger"
WSHShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\disableregistrytools"
WSHShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disableregistrytools"
WSHShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr"
WSHShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr"
WSHShell.Run "%windir%\explorer.exe"

Если командная строка работает - прямо в ней вводим последовательно строчки (внимательно! каждая строка REG ADD.... или REG DELETE.... - это одна команда, независимо от возможных переносов длинных строк в окне вашего браузера):
 

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe, /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 145 /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe" /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f

Иногда встречаются ситуации, при которых запуск исполняемых файлов (*.com, *.exe, *.cmd, *.bat, *.vbs) тоже оказывается блокирован. В этом случае можно попробовать воспользоваться INF-файлом, который приведен ниже. Алгоритм действий - скопировать, вставить в Блокнот, сохранить с расширением .inf (например, unlock.inf). Затем можно установить этот файл, кликнув на нем правой кнопкой мыши и выбрав пункт Установить из открывшегося контекстного меню.

[Version]
Signature=$CHICAGO$
; Версия файла: 3.33

[DefaultInstall]
AddReg=Add.Settings
DelReg=Del.Settings

[Add.Settings]
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0x10001,0x00000000
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x10001,0x00000001
HKCR,exefile\shell\open\command,"",0x0,"""%%1""" %%*"
HKCR,batfile\shell\open\command,"",0x0,"""%%1""" %%*"
HKCR,cmdfile\shell\open\command,"",0x0,"""%%1""" %%*"
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions,0x10001,0x00000000
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x10001,0x00000000
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr,0x10001,0x00000000

[Del.Settings]
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\start.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\startf.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sfc.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt.exe
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.bat
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cmd
HKU,.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKLM,SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableConfig


#6 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 31 Август 2014 - 16:43

Dmitry_rus, зачем воевать заранее неизвестно с чем?

 

У меня вообще подозрение, что у пользователя Sality/Sector



#7 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 624 Сообщений:

Отправлено 31 Август 2014 - 16:47

В любом случае, CureIt и LiveDisk ему в помощь. Логов нет, так что по поводу сектора остается лишь гадать. Возможно, именно он. Ждем более подробных сообщений.



#8 kolya319

kolya319

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 31 Август 2014 - 20:58

Я не сильно умён в этой областе но я открыл командную строку и написал туда вот это set WSHShell = CreateObject("WScript.Shell")
On Error Resume Next , а когда написал WSHShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell", "Explorer.exe мне в ответ консоль написала : " WSHShell.RegWrite не является внутренней или внешней
командой , исполняемой командой или пакетным файлом." Так и должно быть или я неправельно делал?



#9 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 31 Август 2014 - 21:40

kolya319, подождите. Для начала попробуйте пролечиться утилитой Dr.Web LiveDisk. Она должна восстановить ассоциации файлов, если они сбились, ну а если это файловый вирус (Neshta, Jeefo, Sector, etc...), то он это тоже умеет лечить.

 

http://www.freedrweb.com/livedisk/

 

Можно на диск записать, можно на USB флешку.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#10 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 624 Сообщений:

Отправлено 01 Сентябрь 2014 - 00:12

Так и должно быть или я неправельно делал?
Неправильно делал. Вроде было написано довольно понятным языком, что всю эту последовательность команд нужно было сохранить в файле с расширением vbs, и уже его запускать.

#11 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 841 Сообщений:

Отправлено 01 Сентябрь 2014 - 06:34

kolya319, Загляните в ЛС.



#12 provayder

provayder

    Poster

  • Posters
  • 1 742 Сообщений:

Отправлено 01 Сентябрь 2014 - 10:59

какое может быть само лечение без логов, это как картошку на луне ща ищем



#13 kolya319

kolya319

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 01 Сентябрь 2014 - 12:56

Что такое логи и где их взять?



#14 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 01 Сентябрь 2014 - 13:00

Прочитать сообщение № 2 в этой теме.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых