0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
1 | |
Cuadlv.pif, bxex.exe (меняет имя)07.10.2011, 13:00. Показов 3698. Ответов 19
Метки нет (Все метки)
Приветствую.
Возможная причина произошедшего установка программы EnCore! (караоке) Имею ноутбук Lenovo E43 стоит Win XP SP3 32-разрядная Пользовался антивирусником Avira примерно года 1,5 проблем не было. В корне каждого диска (3 шт) находится авторун.exe и имя(имеет свойство меняться).pif Вирус "жрет" выборочно EXEшники, как следствие программы не запускаются, установка не всегда возможна. На удаление регирует возобновлением нового. Проверил диск CD-Live Curent и пролечил - система упала из-за улаленного системного файла, восстановил. AVZ запустить не удалось(запускается и через мгновение закрывается).
0
|
07.10.2011, 13:00 | |
Ответы с готовыми решениями:
19
На дисках появляются файлы с расширением exe и pif pif вирус который блокирует ДС как вывести имя программы? именно имя, то что видно в провонике example.exe Label автоматически меняет имя |
Заблокирован
|
|
07.10.2011, 13:31 | 2 |
у вас sality
выполните - Как лечить файловый вирус (сканирование drweb livecd + salitykiller) после этого - повторные логи avz и rsit (программы скачать заново!)
1
|
0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
07.10.2011, 20:43 [ТС] | 3 |
0
|
Заблокирован
|
|
07.10.2011, 21:55 | 4 |
1.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\XP-D41D8CD9.EXE ',''); QuarantineFile('C:\Documents and Settings\Сергей\Главное меню\Программы\Автозагрузка\igfxtray.exe',''); QuarantineFile('C:\WINDOWS\enс.ini',''); QuarantineFile('H:\slrmgr.exe',''); QuarantineFile('H:\tnjh.exe',''); QuarantineFile('I:\vtcgwa.pif',''); QuarantineFile('D:\xdhpg.exe',''); QuarantineFile('H:\ikohbg.exe',''); QuarantineFile('H:\cuadlv.pif',''); QuarantineFile('E:\ncuu.pif',''); QuarantineFile('C:\jisp.exe',''); QuarantineFile('H:\ajtuam.exe',''); QuarantineFile('C:\mwpyc.exe',''); QuarantineFile('C:\WINDOWS\system32\740e4247.exe',''); QuarantineFile('C:\WINDOWS\apppatch\tkvssrx.dat',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\kflqpn.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\kflqpn.sys'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\WINDOWS\apppatch\tkvssrx.dat'); DeleteFile('C:\WINDOWS\system32\740e4247.exe'); DeleteFile('C:\WINDOWS\system32\XP-D41D8CD9.EXE '); DeleteFile('C:\Documents and Settings\Сергей\Главное меню\Программы\Автозагрузка\igfxtray.exe'); DeleteFile('H:\slrmgr.exe'); DeleteFile('H:\tnjh.exe'); DeleteFile('I:\vtcgwa.pif'); DeleteFile('D:\xdhpg.exe'); DeleteFile('H:\ikohbg.exe'); DeleteFile('H:\cuadlv.pif'); DeleteFile('E:\ncuu.pif'); DeleteFile('C:\jisp.exe'); DeleteFile('H:\ajtuam.exe'); DeleteFile('C:\mwpyc.exe'); DeleteFileMask('C:\WINDOWS\Temp', '*.exe', true); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\XP-D41D8CD9'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Сергей^Главное меню^Программы^Автозагрузка^igfxtray.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\drivers\kflqpn.sys'); BC_DeleteSvc('amsint32'); BC_Activate; RebootWindows(true); end. Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 2.скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр Код
Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"="C:\\Program Files\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club" "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "D:\\Program Files\\uTorrent\\uTorrent.exe"="D:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:ipsec" "C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:µTorrent" "D:\\PROGRA~1\\THEKMP~1\\KMPlayer.exe"="D:\\PROGRA~1\\THEKMP~1\\KMPlayer.exe:*:Enabled:ipsec" "C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer.EXE:*:Enabled:ipsec" "C:\\WINDOWS\\system32\\ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe:*:Enabled:ipsec" "D:\\Program Files\\AIMP2\\AIMP2.exe"="D:\\Program Files\\AIMP2\\AIMP2.exe:*:Enabled:ipsec" "D:\\Program Files\\WinRAR\\WinRAR.exe"="D:\\Program Files\\WinRAR\\WinRAR.exe:*:Enabled:ipsec" "C:\\Program Files\\Avant Browser\\avant.exe"="C:\\Program Files\\Avant Browser\\avant.exe:*:Enabled:ipsec" "C:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE:*:Enabled:ipsec" "D:\\Program Files\\Notepad++\\notepad++.exe"="D:\\Program Files\\Notepad++\\notepad++.exe:*:Enabled:ipsec" "C:\\WINDOWS\\system32\\NOTEPAD.EXE"="C:\\WINDOWS\\system32\\NOTEPAD.EXE:*:Enabled:ipsec" "D:\\Program Files\\Internet Download Manager\\IDMan.exe"="D:\\Program Files\\Internet Download Manager\\IDMan.exe:*:Enabled:ipsec" "C:\\Program Files\\Unlocker\\Unlocker.exe"="C:\\Program Files\\Unlocker\\Unlocker.exe:*:Enabled:ipsec" "C:\\Program Files\\Total Commander XP\\TOTALCMD.EXE"="C:\\Program Files\\Total Commander XP\\TOTALCMD.EXE:*:Enabled:ipsec" "D:\\Program Files\\QIP Infium\\infium.exe"="D:\\Program Files\\QIP Infium\\infium.exe:*:Enabled:ipsec" "C:\\Program Files\\Splan70\\Splan70.exe"="C:\\Program Files\\Splan70\\Splan70.exe:*:Enabled:ipsec" "C:\\Program Files\\Globe Visibility Connection Manager\\Globe Visibility Connection Manager.exe"="C:\\Program Files\\Globe Visibility Connection Manager\\Globe Visibility Connection Manager.exe:*:Enabled:ipsec" Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 4.обновите базы AVZ и сделайте повторные логи avz и rsit.
0
|
0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
08.10.2011, 09:04 [ТС] | 5 |
Katharsis,
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
08.10.2011, 10:44 | 6 |
Запустите МВАМ и выполните полную проверку
После сканирования выберите Ок и далее Show Results (Показать результаты), отметьте все найденное и нажмите Remove Selected (удалить выделенные). После удаления откройте лог и прикрепите его к сообщению. Смените все пароли
0
|
0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
08.10.2011, 13:50 [ТС] | 7 |
Удалять найденное или нет?
Проверку снова запустил. Уже найдено 14 зараженных объекта. Проверка продолжается...
0
|
0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
08.10.2011, 15:29 [ТС] | 9 |
Результат полной проверки.
0
|
Заблокирован
|
|
08.10.2011, 15:52 | 10 |
из найденного удалите:
скачайте и установите Internet Explorer 8 скачайте и установите все последние обновления для безопасности windows так же обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.
0
|
0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
08.10.2011, 20:46 [ТС] | 11 |
1.Выкладываю еще один результат полной проверки.
2. Internet Explorer 8 и QuickTime поставил, обновления натроил. Остальные рекомендации чуть позже (не совсем понял как скачать/установить)
0
|
Заблокирован
|
|
08.10.2011, 21:01 | 12 |
Ставить все вышедшие обновления для безопасности - это обязательно. Даже если у вас включено автообновление. http://go.microsoft.com/fwlink/?linkid=10678 Всё остальное - тоже (перейти по ссылкам и скачать).
После того, как всё установите: Проверить на целостность системные файлы: Пуск - "выплонить". впишите команду: После того как всё сделаете, отпишитесь о результате
0
|
0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
13.10.2011, 16:27 [ТС] | 14 |
Извиняюсь за молчание.
Все обновления установил. При выполнении sfc.exe /scannow последовал запрос диска SP3. В наличии нет (сам в командировке). В самое ближайшее время отпишусь ОБЯЗАТЕЛЬНО! Я использую Avant Browser. Стоит заменить?
0
|
Заблокирован
|
|
13.10.2011, 16:40 | 15 |
Зачем, пользуйтесь, если нравится.
Нужно будет найти и сделать позже. После такой болячки часть системных файлов может работать криво, на них могут материться антивирусы и тд (т к после очистки меняется контрольная сумма). Если больше никаких проблем не возникает, то: Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. - регулярно проверять систему антивирусными утилитами CureIT и AVPTool
0
|
0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
13.10.2011, 17:17 [ТС] | 16 |
0
|
0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
14.10.2011, 13:38 [ТС] | 18 |
Проверил, больше замечаний не было. УРА
Да, еще 1. IE8 запускается и через мгновение закрывается. Переустановка не помогла. Может так оставить я им не пользуюсь? 2. Переустановил антивирусник Avira, перепроверился, обнаружил пораженные/подозрительные файлы. отчет приложил. 3. В некоторых программах Aimp, Qip и др возникают ошибки приложений. Переустановлю
0
|
Заблокирован
|
|
14.10.2011, 16:08 | 19 |
от файлов, которые отмечены
Точки восстановления так же ещё раз желательно почистить После очистки некоторые файлы могут становятся нерабочими, переустановите ПО (обычно достаточно без удаления, выбрать repair или modify). Если не запускаются и после переустановки - попробуйте создать новую админскую учетную запись. Возможно, будут работать под ней.
0
|
0 / 0 / 0
Регистрация: 30.04.2010
Сообщений: 85
|
|
16.10.2011, 07:42 [ТС] | 20 |
Понятно.
В остальном порядок!!!! Благдарю за помощь.
0
|
16.10.2011, 07:42 | |
16.10.2011, 07:42 | |
Помогаю со студенческими работами здесь
20
Узнать WHnd по запущенному exe файлу, зная только имя файла prog.exe Firebase не меняет имя пользователя без выхода Неправильно указана рабочая папка, прорвете PIF файл Имя exe файла Убить процесс, зная имя.exe Как узнать имя exe'шника в VC 6? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |