• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Новая папка.ехе

Статус
В этой теме нельзя размещать новые ответы.

Корабль

Активный пользователь
Сообщения
43
Симпатии
0
#1
Здравствуйте,проблема такая: в корневых папках диска появилась папка "Новая папка.ехе". После этого KIS не запускается и комп страшно тормозит. Посмотреть вложение info.txt

Посмотреть вложение log.txt

Посмотреть вложение virusinfo_syscure.zip

Посмотреть вложение virusinfo_syscheck.zip
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#2
Здравствуйте,

C:\Program Files\Common Files\DESIGNER - ваша папка?
FREGAT-NET - ваш провайдер?

Перед выполнением скрипта отключите интернет, выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\h323log.txt','');
 QuarantineFile('C:\WINDOWS\SET8.tmp','');
 QuarantineFile('C:\WINDOWS\SET4.tmp','');
 QuarantineFile('C:\WINDOWS\SET3.tmp','');
 QuarantineFile('C:\WINDOWS\SET208.tmp','');
 QuarantineFile('C:\WINDOWS\SET1FC.tmp','');
 QuarantineFile('C:\WINDOWS\SET1F9.tmp','');
 QuarantineFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\A0000018.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\A0000020.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\A0000021.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\VideoDriver.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\Новая папк0.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\Новая папк1.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\Новая папка.exe','');
 QuarantineFile('C:\System Volume Information\_restore{1A462B14-D59C-46BA-A97E-4B09A847861D}\RP2\A0000019.exe','');
 DeleteFile('C:\WINDOWS\system32\h323log.txt');
 DeleteFile('C:\WINDOWS\SET8.tmp');
 DeleteFile('C:\WINDOWS\SET4.tmp');
 DeleteFile('C:\WINDOWS\SET3.tmp');
 DeleteFile('C:\WINDOWS\SET208.tmp');
 DeleteFile('C:\WINDOWS\SET1FC.tmp');
 DeleteFile('C:\WINDOWS\SET1F9.tmp');
 DeleteFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\A0000018.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\A0000020.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\A0000021.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\VideoDriver.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\Новая папк0.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\Новая папк1.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\Новая папка.exe');
 DeleteFile('C:\System Volume Information\_restore{1A462B14-D59C-46BA-A97E-4B09A847861D}\RP2\A0000019.exe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ с помощью этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Повторите логи AVZ (предварительно обновите базы и) rsit.

Проверялись ComboFix`ом или Gmer`ом? Логи также приложите к теме.
 
Последнее редактирование:

Корабль

Активный пользователь
Сообщения
43
Симпатии
0
#3
C:\Program Files\Common Files\DESIGNER - ваша папка?
FREGAT-NET - ваш провайдер?
Провайдер мой, папка моя. Логов Combofix и GMER нет.
 

Вложения

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#4
Как проблемы?

подготовьте лог Malwarebytes' Anti-Malware.

Перед выполнением скрипта отключите интернет, выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('evyet.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ с помощью этой формы
 

akok

Команда форума
Администратор
Сообщения
13,785
Симпатии
11,602
#7
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в tEmp.exe

Подробнее в "ComboFix. Руководство по применению."
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#9
Корабль, перед тем, как запускать ComboFix, касперского нужно отключать!

Проверьте на virustotal.com:
c:\windows\system32\userinit.exe
ссылку на результат запостите здесь

Добавлено через 2 минуты 9 секунд
установочный диск Windows XP у вас есть?
 

Корабль

Активный пользователь
Сообщения
43
Симпатии
0
#10
В том-то и дело, что Касперский не включается. Скорей всего работает какой-то его процесс, но я не знаю какой. Установочный диск есть. Вот скрин с virustotal:

Добавлено через 1 минуту 12 секунд
Чего-то не добавил вложение.

Добавлено через 1 минуту 32 секунды
Блин, оно большое сильно

Добавлено через 2 минуты 30 секунд
Вот. Это он написал:
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: 4f88778dd0cd6b99fcda408e16b36ae7
Date first seen: 2009-02-12 03:52:43 (UTC)
Date last seen: 2010-12-09 11:05:46 (UTC)
Detection ratio: 0/43

Добавлено через 2 минуты 15 секунд
http://www.virustotal.com/file-scan/reanalysis.html?id=47c2270f3eb9ef3cf7d33365db71f8209f1f4141f1d7f1a2b76a5cad0bd78b34-1291913081
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#11
не надо скрин, надо ссылку из адресной строки браузера.
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#13
По этой ссылке не вижу результата проверки. Отправте ещё раз.
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#15
по VT - файл чист. Проблемы остались? Так же появляется "новая папка.exe"?
 

Корабль

Активный пользователь
Сообщения
43
Симпатии
0
#16
Нет. Новая папка.ехе уже не появляется, но компьютер всё равно тормозит(после перезагрузки Windows запускается 20 мин) и KIS не запускается.
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
#17
Вставте в дисковод загрузочный диск Windows xp sp3. Откройте консоль (пуск - выполнить - cmd) наберите:
expand Буква_дисковода:\i386\userinit.ex_ c:\windows\system32\ userinit.exe
например,
expand d:\i386\userinit.ex_ c:\windows\system32\ userinit.exe
нажмите enter
 

Корабль

Активный пользователь
Сообщения
43
Симпатии
0
#18
Распаковал 11863 байт в 26624 увеличение на 124%
 

Корабль

Активный пользователь
Сообщения
43
Симпатии
0
#20
Касперский не запускается. Может его переустановить? Сейчас попробую перезагрузить коимпьютер.
 
Статус
В этой теме нельзя размещать новые ответы.