• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Пропал cmd.exe

Статус
В этой теме нельзя размещать новые ответы.

BdV

Активный пользователь
Сообщения
16
Симпатии
2
#1
Доброго времени суток!
Обнаружилась проблема при установке джентельменского набора Денвера 3. Установщик писал "ошибка конфигурации":


http://safezone.cc/forum/attachment.php?attachmentid=4704&stc=1&d=1306578151

Попытки исправить переменную среды Path не привели к успеху.
Попутно было "случайно" обнаружено, что cmd.exe вообще отсутствует...
Прошу помощи специалистов.
 

Вложения

Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#2
Смотрю логи скоро отвечу
 

BdV

Активный пользователь
Сообщения
16
Симпатии
2
#3
Заранее благодарен.
Я бы не обращался, но комп не мой, и диска с которого устанавливалась винда, нет. Процедура восстановления с других дисков не запускается...
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#4
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\asyvceln.SYS','');
BC_ImportAll;
 BC_QrFile('C:\WINDOWS\System32\Drivers\asyvceln.SYS');
BC_Activate;
 ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT.

А так же подготовьте лог GMER
 

BdV

Активный пользователь
Сообщения
16
Симпатии
2
#5
Логи отправил формой.
В файл virusinfo_cure.zip сложил все логи AVZ, RSIT и GMER.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#6
Логи отправил формой.
В файл virusinfo_cure.zip сложил все логи AVZ, RSIT и GMER.
Формой надо было отправлять карантин, вирусным аналитикам логи ни к чему, прикрепите логи к следующему сообщению.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#8
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service vzwwxl
gmer.exe -del file "C:\WINDOWS\system32\uxlab.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vzwwxl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vzwwxl"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Повторите логи AVZ, RSIT и GMER.
 

BdV

Активный пользователь
Сообщения
16
Симпатии
2
#9
После выполнения скрипта 2 авз и перезагрузки, винда выдала окошко, что восстановлена после серьезной ошибки. Логи в архиве.
Денвер встал без проблем! Огромнейшее спасибо вам ребята!!!!!!!!!!!
С чем связан подобный сбой, в двух словах?
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#10
Погодите с окончанием лечения у Вас руткит и по-видимому серьезный.

Червь возвращается к Вам снова через незакрытые уязвимости.

Необходимо закрыть уязвимости, установив обновления:

Microsoft Windows XP Professional Service Pack 2 - Внимание, Windows XP SP2 больше не поддерживается, перед проверкой обновлений скачайте и установите Servce Pack 3 (может потребоваться повторная активация) и все последние обновления Windows.
- установите Internet Explorer 8.0 (даже если им не пользуетесь) и все последние обновления для него.
Удалите или обновите до последней версии Acrobat 7.0

После указанных процедур
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 

BdV

Активный пользователь
Сообщения
16
Симпатии
2
#11
Скачал и установил рекомендованные обновления. Установил SP3, после перезагрузки система повисла. Перезагрузил выбрав "последняя работоспособная конфигурация", заработало. Винда снова выдала "восстановлена после серьёзной ошибки", логи в файле. Установил IE8, также было окошко с ошибкой. Результат комбофикс также в файле.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#12
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

NetSvc::
vzwwxl

Driver::
vzwwxl

DDS::
uDefault_Search_URL = hxxp://webalta.ru/poisk
mSearch Bar = hxxp://webalta.ru/poisk
uSearchAssistant = hxxp://webalta.ru/poisk

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4531:TCP"=-

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

akok

Команда форума
Администратор
Сообщения
15,002
Симпатии
12,278
#14
Вы обновили Windows?

Добавлено через 10 секунд
Скачайте Malwarebytes' Anti-Malware.

- установите программу и обновите базы

- После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование".

- после окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл который необходимо прикрепить к следующему своему сообщению.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#15
Все-таки обновится надо любым образом, все у Вас как было, так и осталось, попробуйте установить обновления, отключив антивирус и файрволл или в безопасном режиме.
 

BdV

Активный пользователь
Сообщения
16
Симпатии
2
#16
Обновиться-то я вроде обновился. Сейчас пишет SP3. И EI8 стал. Устанавливал естественно с отключённым антивирусом и файерволом. Накатить SP3 и рекомендованные 3 обновления ещё раз в безопасном режиме?

Отчёт Malwarebytes' Anti-Malware прикрепил.
Нашёл 3 заражённых объекта. Рекомендуете удалить их?
 

Вложения

Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#18
Надо кроме SP3 поставить все обновления после него.

Отчета MBAM не вижу.
 

BdV

Активный пользователь
Сообщения
16
Симпатии
2
#19
Сори, отчёт прикрепил.
Т.е. можно поставить галочку автоматическое обновление? Или есть архивы со всеми обновлениями после SP3?
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#20
Найденное MBAM можете оставить.

Есть программа WSUS Offline, которая скачает все обновления в указанную папку и создаст файл который необходимо запустить, чтобы установить скаченные обновления.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу