Решена Пропал cmd.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем BdV, 28 май 2011.

Статус темы:
Закрыта.
  1. BdV
    Оффлайн

    BdV Активный пользователь

    Сообщения:
    16
    Симпатии:
    2
    Доброго времени суток!
    Обнаружилась проблема при установке джентельменского набора Денвера 3. Установщик писал "ошибка конфигурации":


    http://safezone.cc/forum/attachment.php?attachmentid=4704&stc=1&d=1306578151

    Попытки исправить переменную среды Path не привели к успеху.
    Попутно было "случайно" обнаружено, что cmd.exe вообще отсутствует...
    Прошу помощи специалистов.
     

    Вложения:

    Последнее редактирование модератором: 28 май 2011
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    Смотрю логи скоро отвечу
     
  3. BdV
    Оффлайн

    BdV Активный пользователь

    Сообщения:
    16
    Симпатии:
    2
    Заранее благодарен.
    Я бы не обращался, но комп не мой, и диска с которого устанавливалась винда, нет. Процедура восстановления с других дисков не запускается...
     
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    нажмите No, если вы хотите оставить ваши сохраненные пароли
    если вы используете Opera, нажмите Opera - Select All - Empty Selected
    нажмите No, если вы хотите оставить ваши сохраненные пароли

    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\asyvceln.SYS','');
    BC_ImportAll;
     BC_QrFile('C:\WINDOWS\System32\Drivers\asyvceln.SYS');
    BC_Activate;
     ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи AVZ и RSIT.

    А так же подготовьте лог GMER
     
  5. BdV
    Оффлайн

    BdV Активный пользователь

    Сообщения:
    16
    Симпатии:
    2
    Логи отправил формой.
    В файл virusinfo_cure.zip сложил все логи AVZ, RSIT и GMER.
     
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    Формой надо было отправлять карантин, вирусным аналитикам логи ни к чему, прикрепите логи к следующему сообщению.
     
  7. BdV
    Оффлайн

    BdV Активный пользователь

    Сообщения:
    16
    Симпатии:
    2
    Извините, не понял вас сразу...
     

    Вложения:

    1 человеку нравится это.
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
    Код (Text):

    gmer.exe -del service vzwwxl
    gmer.exe -del file "C:\WINDOWS\system32\uxlab.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vzwwxl"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vzwwxl"
    gmer.exe -reboot
     
    И запустите сохранённый пакетный файл cleanup.bat.
    Внимание: Компьютер перезагрузится!
    Повторите логи AVZ, RSIT и GMER.
     
    1 человеку нравится это.
  9. BdV
    Оффлайн

    BdV Активный пользователь

    Сообщения:
    16
    Симпатии:
    2
    После выполнения скрипта 2 авз и перезагрузки, винда выдала окошко, что восстановлена после серьезной ошибки. Логи в архиве.
    Денвер встал без проблем! Огромнейшее спасибо вам ребята!!!!!!!!!!!
    С чем связан подобный сбой, в двух словах?
     

    Вложения:

  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    Погодите с окончанием лечения у Вас руткит и по-видимому серьезный.

    Червь возвращается к Вам снова через незакрытые уязвимости.

    Необходимо закрыть уязвимости, установив обновления:

    Microsoft Windows XP Professional Service Pack 2 - Внимание, Windows XP SP2 больше не поддерживается, перед проверкой обновлений скачайте и установите Servce Pack 3 (может потребоваться повторная активация) и все последние обновления Windows.
    - установите Internet Explorer 8.0 (даже если им не пользуетесь) и все последние обновления для него.
    Удалите или обновите до последней версии Acrobat 7.0

    После указанных процедур
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    1 человеку нравится это.
  11. BdV
    Оффлайн

    BdV Активный пользователь

    Сообщения:
    16
    Симпатии:
    2
    Скачал и установил рекомендованные обновления. Установил SP3, после перезагрузки система повисла. Перезагрузил выбрав "последняя работоспособная конфигурация", заработало. Винда снова выдала "восстановлена после серьёзной ошибки", логи в файле. Установил IE8, также было окошко с ошибкой. Результат комбофикс также в файле.
     

    Вложения:

  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    NetSvc::
    vzwwxl

    Driver::
    vzwwxl

    DDS::
    uDefault_Search_URL = hxxp://webalta.ru/poisk
    mSearch Bar = hxxp://webalta.ru/poisk
    uSearchAssistant = hxxp://webalta.ru/poisk

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4531:TCP"=-

    Reboot::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  13. BdV
    Оффлайн

    BdV Активный пользователь

    Сообщения:
    16
    Симпатии:
    2
    Сделал
     

    Вложения:

  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Вы обновили Windows?

    Добавлено через 10 секунд
    Скачайте Malwarebytes' Anti-Malware.

    - установите программу и обновите базы

    - После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование".

    - после окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл который необходимо прикрепить к следующему своему сообщению.
     
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    Все-таки обновится надо любым образом, все у Вас как было, так и осталось, попробуйте установить обновления, отключив антивирус и файрволл или в безопасном режиме.
     
  16. BdV
    Оффлайн

    BdV Активный пользователь

    Сообщения:
    16
    Симпатии:
    2
    Обновиться-то я вроде обновился. Сейчас пишет SP3. И EI8 стал. Устанавливал естественно с отключённым антивирусом и файерволом. Накатить SP3 и рекомендованные 3 обновления ещё раз в безопасном режиме?

    Отчёт Malwarebytes' Anti-Malware прикрепил.
    Нашёл 3 заражённых объекта. Рекомендуете удалить их?
     

    Вложения:

    Последнее редактирование: 29 май 2011
  17. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Где ?
     
  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    Надо кроме SP3 поставить все обновления после него.

    Отчета MBAM не вижу.
     
  19. BdV
    Оффлайн

    BdV Активный пользователь

    Сообщения:
    16
    Симпатии:
    2
    Сори, отчёт прикрепил.
    Т.е. можно поставить галочку автоматическое обновление? Или есть архивы со всеми обновлениями после SP3?
     

    Вложения:

  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.595
    Найденное MBAM можете оставить.

    Есть программа WSUS Offline, которая скачает все обновления в указанную папку и создаст файл который необходимо запустить, чтобы установить скаченные обновления.
     
Статус темы:
Закрыта.

Поделиться этой страницей