Перейти к содержанию
Правила раздела

проблема с запуском

PlaySten

Автор PlaySten
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

PlaySten

PlaySten

Опубликовано
Опубликовано

Проблема с запуском txt файлов и реестра. выдает ошибку "не является приложением win32"

Строгое предупреждение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. Файл удалён.

 

.bat кстати тоже не робят

 

и .exe)

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscure.xml

virusinfo_syscure.htm

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

PlaySten,

экспериментировать с вредоносами на реальной машине чревато.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\program files\regdoctor\regdoctor.exe');
StopService('truecrypt');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\Updater\ndFunctions.dll.zip','');
QuarantineFile('C:\Windows\system32\userinit.exe','');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\ndFunctions.dll','');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\Dlls\iPhoneImportSyncGuide.dll','');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\Dlls\CallHistory.dll','');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\COMInterop.dll','');
QuarantineFile('C:\WINDOWS.0\system32\bpk.exe','');
QuarantineFile('C:\WINDOWS.0\pchealth\helpctr\binaries\helpctr.exe','');
QuarantineFile('C:\Users\Андрей\Downloads\RxBot.zip','');
QuarantineFile('C:\Users\Андрей\Downloads\Encrypt.rar','');
QuarantineFile('C:\Users\Андрей\Downloads\Decrypters.rar','');
QuarantineFile('C:\Users\Андрей\Desktop\Крипторы\RxBot\RxBot\RxBot.exe','');
QuarantineFile('C:\Users\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar','');
QuarantineFile('C:\Documents and Settings\Андрей\Downloads\RxBot.zip','');
QuarantineFile('C:\Documents and Settings\Андрей\Downloads\Encrypt.rar','');
QuarantineFile('C:\Documents and Settings\Андрей\Downloads\Decrypters.rar','');
QuarantineFile('C:\Documents and Settings\Андрей\Desktop\Крипторы\RxBot\RxBot\RxBot.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar','');
QuarantineFile('C:\Program Files\\Windows Mail\WinMail.exe','');
QuarantineFile('C:\Windows\system32\regsvr32.exe','');
QuarantineFile('C:\Windows\System32\ie4uinit.exe','');
QuarantineFile('C:\Windows\system32\unregmp2.exe','');
QuarantineFile('C:\Windows\system32\rundll32.exe','');
QuarantineFile('C:\Windows\system32\regedit.exe','');
QuarantineFile('C:\Windows\System32\LocationNotifications.exe','');
QuarantineFile('C:\ProgramData\musqbvtkq8.exe','');
QuarantineFile('C:\Program Files\Pamela\Pamela.exe','');
QuarantineFile('C:\Windows\system32\drivers\truecrypt.sys','');
QuarantineFile('C:\Windows\system32\dllhost.exe','');
QuarantineFile('C:\Windows\System32\alg.exe','');
QuarantineFile('c:\program files\regdoctor\regdoctor.exe','');
DeleteFile('C:\ProgramData\musqbvtkq8.exe');
DeleteFile('C:\Windows\system32\regedit.exe');
DeleteFile('C:\Documents and Settings\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar');
DeleteFile('C:\Documents and Settings\Андрей\Downloads\Decrypters.rar');
DeleteFile('C:\Documents and Settings\Андрей\Downloads\Encrypt.rar');
DeleteFile('C:\Users\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar');
DeleteFile('C:\Users\Андрей\Downloads\Decrypters.rar');
DeleteFile('C:\Users\Андрей\Downloads\Encrypt.rar');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','musqbvtkq8');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: 184.168.192.9 sunke.info
O1 - Hosts: 122.224.6.164 zeus.sunke.info
O1 - Hosts: 173.192.170.88 domainparkingaccount.com
O1 - Hosts: 173.192.170.88 www.domainparkingaccount.com
O4 - HKLM\..\Run: [musqbvtkq8] C:\ProgramData\musqbvtkq8.exe
O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe
O13 - Gopher Prefix:

 

После проведённого лечения рекомендуется:

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Перед новыми логами - обязательно выполните:

Необходимо провести проверку ПК, воспользовавшись одним из следующих продуктов:

Kaspersky Virus Removal Tool 2011 или Dr.Web CureIt!.

 

Сделайте новые логи по правилам.

Требуются логи RSIT!

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
PlaySten

PlaySten

Опубликовано
  • Автор
Опубликовано

вот логи

 

Removal tool ничего не нашел

 

а архив с карантином не загружается. пробовал с google chrome и explorer

info.txt

log.txt

mbam_log_2011_10_26__00_32_46_.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Сделайте новые логи по правилам.

а логи AVZ где?

 

а архив с карантином не загружается. пробовал с google chrome и explorer

отправьте его на newvirus@kasperky.com

 

Удалите в MBAM ТОЛЬКО следующие объекты:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Зараженные файлы:
c:\Users\Андрей\downloads\avz4\avz4\Infected\2011-10-25\avz00004.dta (Trojan.Perflog) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\Infected\2011-10-25\avz00005.dta (Monitor.Perflogger) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\Infected\2011-10-25\avz00006.dta (Monitor.PerfKeylogger) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\avz00007.dta (Monitor.Perflogger) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\avz00026.dta (Trojan.Inject) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\bcqr00015.dat (Monitor.Perflogger) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\bcqr00016.dat (Monitor.Perflogger) -> No action taken.
c:\Poker\titan poker\_titanpsetup_847f37.exe (PUP.Casino) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016416.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016417.exe (RiskWare.Tool.HCK) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016681.exe (RiskWare.Tool.CK) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016634.exe (Trojan.LDPinch) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016639.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP28\A0018041.exe (Spyware.OnlineGames) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP7\A0013032.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\WINDOWS.0\system32\bpk.exe (Monitor.Perflogger) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlls.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlls64.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlph.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlservice.exe (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlvknlg.exe (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlvknlg64.exe (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlxf.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\components\rlxg.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\components\rlxh.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\components\rlxi.dll (Adware.RelevantKnowledge) -> No action taken.
d:\kaspersky 2010 9.0.0.736 (a) final ®\вечный ключ\activation.exe (Trojan.Bumat) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

 

Проверьте на virustotal.com

C:\Windows\system32\MRT.exe
c:\Users\Андрей\Desktop\новая папка (7)\TCryptor\TCryptor\kewlbuttonz.ocx
d:\новая папка (7)\TCryptor\TCryptor\kewlbuttonz.ocx
c:\Windows.old\Windows\system32\ctfmon.exe
c:\Windows.old\Windows\system32\spool\patch.exe
c:\Users\Андрей\Desktop\новая папка (7)\ufr_stealer_5bc75ffc14f19b899cbf190b2b125f4b6a0204f4\ufr_stealer.exe
c:\Users\Андрей\downloads\fastdownload.exe
d:\подозрительные файлы\ECC_7.2\ECC_52\ECC.exe
d:\новая папка (7)\ufr_stealer.exe

ссылки на все результаты проверки приложите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nik1122
      Проблемы с запуском ПК после установки нового SSD NVMe M.2
      Автор Nik1122
      Недавно приобрёл новый SSD-диск Kingston FURY Renegade NVMe 1TB. После его установки у меня начались проблемы с запуском ПК. Вот основные из них:
      ПК в целом стал загружаться значительно дольше.
      Иногда после того, как экран на минуту зависает на окне BIOS, появляется синий экран с ошибкой — KERNEL_DATA_INPAGE_ERROR или DPC_WATCHDOG_VIOLATION.
      После запуска SSD может не отображаться — это решается перезагрузкой ПК.
      Иногда появляется чёрный экран или система зависает на заставке BIOS.
      Ошибки из пунктов 2–4 возникают примерно при каждом третьем запуске. В остальных случаях система просто долго загружается.
    • Jacket45
      При запуске компьютера и браузера самостоятельно скачивается ablock
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Chugunyi
      ошибка 0xc0000017 при попытке запуска regedit и gpedit.msc
      Автор Chugunyi
      ошибка 0xc0000017 при попытке запуска regedit gpedit.msc , не могу так же сбросить винду, скорее всего после установки доступа дискорд+ютуб
    • Юрий Григорьев
      Некоторые проблемы
      Автор Юрий Григорьев
      Добрый день!
      У меня возникла такая проблема:
      В kaspersky security center 10 не активна кнопка для запуска/остановки kaspersky endpoint security на клиентских тачках. Для некоторых административных групп она активна, а для остальных - нет. Я не могу разобраться в чем косяк и как исправить.
       
      Проблема2. Поставили на клиента новую версию kes и агента, в административной группе на сервере компьютер есть, но в kes не указано, что он работает под политикой. В чем может быть причина и как исправить?

×
×
  • Создать...