Решена Пропал cmd.exe

[BdV]

Доброго времени суток!
Обнаружилась проблема при установке джентельменского набора Денвера 3. Установщик писал "ошибка конфигурации":


https://safezone.cc/forum/attachment.php?attachmentid=4704&stc=1&d=1306578151

Попытки исправить переменную среды Path не привели к успеху.
Попутно было "случайно" обнаружено, что cmd.exe вообще отсутствует...
Прошу помощи специалистов.

 

[Severnyj]

Смотрю логи скоро отвечу

 

[BdV]

Заранее благодарен.
Я бы не обращался, но комп не мой, и диска с которого устанавливалась винда, нет. Процедура восстановления с других дисков не запускается...

 

[Severnyj]

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\asyvceln.SYS','');
BC_ImportAll;
 BC_QrFile('C:\WINDOWS\System32\Drivers\asyvceln.SYS');
BC_Activate;
 ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT.

А так же подготовьте лог GMER

 

[BdV]

Логи отправил формой.
В файл virusinfo_cure.zip сложил все логи AVZ, RSIT и GMER.

 

[Severnyj]

Логи отправил формой.
В файл virusinfo_cure.zip сложил все логи AVZ, RSIT и GMER.

Формой надо было отправлять карантин, вирусным аналитикам логи ни к чему, прикрепите логи к следующему сообщению.

 

[BdV]

Извините, не понял вас сразу...

 

[Severnyj]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service vzwwxl
gmer.exe -del file "C:\WINDOWS\system32\uxlab.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vzwwxl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vzwwxl"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Повторите логи AVZ, RSIT и GMER.

 

[BdV]

После выполнения скрипта 2 авз и перезагрузки, винда выдала окошко, что восстановлена после серьезной ошибки. Логи в архиве.
Денвер встал без проблем! Огромнейшее спасибо вам ребята!!!!!!!!!!!
С чем связан подобный сбой, в двух словах?

 

[Severnyj]

Погодите с окончанием лечения у Вас руткит и по-видимому серьезный.

Червь возвращается к Вам снова через незакрытые уязвимости.

Необходимо закрыть уязвимости, установив обновления:

• MS08-067
• MS08-068
• MS09-001

Microsoft Windows XP Professional Service Pack 2 - Внимание, Windows XP SP2 больше не поддерживается, перед проверкой обновлений скачайте и установите Servce Pack 3 (может потребоваться повторная активация) и все последние обновления Windows.
- установите Internet Explorer 8.0 (даже если им не пользуетесь) и все последние обновления для него.
Удалите или обновите до последней версии Acrobat 7.0

После указанных процедур
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

 

[BdV]

Скачал и установил рекомендованные обновления. Установил SP3, после перезагрузки система повисла. Перезагрузил выбрав "последняя работоспособная конфигурация", заработало. Винда снова выдала "восстановлена после серьёзной ошибки", логи в файле. Установил IE8, также было окошко с ошибкой. Результат комбофикс также в файле.

 

[Severnyj]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

NetSvc::
vzwwxl

Driver::
vzwwxl

DDS::
uDefault_Search_URL = hxxp://webalta.ru/poisk
mSearch Bar = hxxp://webalta.ru/poisk
uSearchAssistant = hxxp://webalta.ru/poisk

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4531:TCP"=-

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[BdV]

Сделал

 

[akok]

Вы обновили Windows?

Добавлено через 10 секунд
Скачайте Malwarebytes' Anti-Malware.

- установите программу и обновите базы

- После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование".

- после окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл который необходимо прикрепить к следующему своему сообщению.

 

[Severnyj]

Все-таки обновится надо любым образом, все у Вас как было, так и осталось, попробуйте установить обновления, отключив антивирус и файрволл или в безопасном режиме.

 

[BdV]

Обновиться-то я вроде обновился. Сейчас пишет SP3. И EI8 стал. Устанавливал естественно с отключённым антивирусом и файерволом. Накатить SP3 и рекомендованные 3 обновления ещё раз в безопасном режиме?

Отчёт Malwarebytes' Anti-Malware прикрепил.
Нашёл 3 заражённых объекта. Рекомендуете удалить их?

 

[iskander-k]

Отчёт Malwarebytes' Anti-Malware прикрепил.

Где ?

 

[Severnyj]

Надо кроме SP3 поставить все обновления после него.

Отчета MBAM не вижу.

 

[BdV]

Сори, отчёт прикрепил.
Т.е. можно поставить галочку автоматическое обновление? Или есть архивы со всеми обновлениями после SP3?

 

[Severnyj]

Найденное MBAM можете оставить.

Есть программа WSUS Offline, которая скачает все обновления в указанную папку и создаст файл который необходимо запустить, чтобы установить скаченные обновления.