Вирус убил все экзешники

@Slavok · Регистрация: 12.01.2012

Author24 — интернет-сервис помощи студентам

Скачал файл (как оказалось вирус), запустил (формата .exe), через мгновение браузер открыл множество непонятных ссылок, после тут же закрылся и компьютер перезагрузился. После этого все программы перестали работать. Антивирус не работает (позже снес в надежде установить заново), ничего не работает. Ни 1 программа. Исключение составляет МS Word винамп (мб больше, но в основном все сдохло). Пишет что приложение не может быть запущено и предлагает воспользоватся интернетом для исправления ошибки. Что интересно после перезагрузки, кроме того что не работали программы - интернет дисконектнулся (через флешку вай фай. роутер в сос. комнате). При вводе пароля - заработал.

Запускал кюрит - ничего не нашел. В нормал режиме АВЗ не работает. Логи из безопасного режима.
ОС Windows 7 maximum. Антивир NOD
P.S. пишу с зараженного компа. Ссылка на инфицированный объект который был скачан:

Прошу помочь вылечить. Думал переустановить систему, форматнув системник, но всвязи геморной установкой 5+часов и угрозой что вирус мог уйти на другое железо решил обратиться к вам.

@~~Katharsis~~ · 12.01.2012, 19:08

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Slavok · 12.01.2012, 19:24 **[ТС]**

прикрепились

@~~Katharsis~~ · 12.01.2012, 19:39

1.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, true);
SetAVZGuardStatus(True);
 DeleteFile('%windir%\system32\dmowwij.dll');
 DeleteFileMask('%windir%\syswow64', '*.tmp', false);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится.

2.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

3.сделайте повторные логи avz (стандартный скрипт 2) и rsit в нормальном режиме.

@Slavok · 12.01.2012, 21:07 **[ТС]**

минутку рсит забыл

@Slavok · 12.01.2012, 21:11 **[ТС]**

1111111111

@~~Katharsis~~ · 12.01.2012, 21:22

Сообщение от Katharsis

Скачайте Malwarebytes' Anti-Malware..

.....

@Slavok · 12.01.2012, 21:36 **[ТС]**

скачал, установил, обновил, проверил все диски и после этого сделал скрипт авз и рсит

Добавлено через 43 секунды
а лог забыл, извиняюсь

@Slavok · 12.01.2012, 21:36 **[ТС]**

вот лог

@~~Katharsis~~ · 12.01.2012, 22:32

из найденного mbam этот файлик удалите

E:\Users\Слава\AppData\Local\Google\Chrome\User Data\Default\Cache\f_01dae5 (Trojan.Cidox)

ощущения как?

@Slavok · 12.01.2012, 22:47 **[ТС]**

в принципе я уже 2 часа полноценно пользуюсь своим пк) удалил

@~~Katharsis~~ · 12.01.2012, 23:26

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

@Slavok · 13.01.2012, 00:44 **[ТС]**

Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

нет вкладки дополнительно

Добавлено через 10 минут
возможно потому что у меня не было точки восстановления?

@~~Katharsis~~ · 13.01.2012, 00:49

Сообщение от Slavok

нет вкладки дополнительно

посмотрите инструкцию для семерки - Как создать новую контрольную точку восстановления и очистить предыдущие

точку желательно иметь, может очень выручить однажды

@Slavok · 13.01.2012, 00:59 **[ТС]**

я создал. а вкладки нет т.к. не было старых точек. Если это все, то спасибо за помощь.

@Slavok · 15.01.2012, 02:57 **[ТС]**

Вопрос: не могу установить нод обратно т.к. все время пишет во время установки что "программа установки не имеет доступа к файлу..." и что нужно разрешение от пользователя система. Такого пользователя раньше не было и думаю что это последствия вируса. Что делать?

@~~Katharsis~~ · 15.01.2012, 15:29

Сообщение от Slavok

Такого пользователя раньше не было

ну как это не было))) был

давайте посмотрим, может что то зловредное осталось.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

@Slavok · 15.01.2012, 17:55 **[ТС]**

после запуска программа сказала, что работает НОД и попросила его выключить)
как так

@~~Katharsis~~ · 15.01.2012, 18:03

как временно выключить антивирус, firewall и другое защитное программное обеспечение

@Slavok · 15.01.2012, 18:27 **[ТС]**

так дело в том что нод у меня как бы удален. И я не могу его установить т.к. пишет что нет доступа и надо у пользователя система права получить.

Закрыл окно это (которое просило выключить нод), программа запустилась
далее перезапустил пк, загрузка дошла до "загружается виндовс, пожалуйста подождите", потом последовал черный экран с активным курсором и все. что делать? пишу из сейв мода

@~~Katharsis~~ Заблокирован
	13.01.2012, 00:49	14
	Сообщение от Slavok нет вкладки дополнительно посмотрите инструкцию для семерки - Как создать новую контрольную точку восстановления и очистить предыдущие точку желательно иметь, может очень выручить однажды 1

@Slavok -8 / 0 / 0 Регистрация: 12.01.2012 Сообщений: 85
	15.01.2012, 02:57 [ТС]	16
	Вопрос: не могу установить нод обратно т.к. все время пишет во время установки что "программа установки не имеет доступа к файлу..." и что нужно разрешение от пользователя система. Такого пользователя раньше не было и думаю что это последствия вируса. Что делать? 0

@Slavok -8 / 0 / 0 Регистрация: 12.01.2012 Сообщений: 85
		1
	Вирус убил все экзешники 12.01.2012, 18:56. Показов 5375. Ответов 26 Метки нет (Все метки) Скачал файл (как оказалось вирус), запустил (формата .exe), через мгновение браузер открыл множество непонятных ссылок, после тут же закрылся и компьютер перезагрузился. После этого все программы перестали работать. Антивирус не работает (позже снес в надежде установить заново), ничего не работает. Ни 1 программа. Исключение составляет МS Word винамп (мб больше, но в основном все сдохло). Пишет что приложение не может быть запущено и предлагает воспользоватся интернетом для исправления ошибки. Что интересно после перезагрузки, кроме того что не работали программы - интернет дисконектнулся (через флешку вай фай. роутер в сос. комнате). При вводе пароля - заработал. Запускал кюрит - ничего не нашел. В нормал режиме АВЗ не работает. Логи из безопасного режима. ОС Windows 7 maximum. Антивир NOD P.S. пишу с зараженного компа. Ссылка на инфицированный объект который был скачан: Прошу помочь вылечить. Думал переустановить систему, форматнув системник, но всвязи геморной установкой 5+часов и угрозой что вирус мог уйти на другое железо решил обратиться к вам. 0

@~~Katharsis~~ Заблокирован
	12.01.2012, 19:08	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@~~Katharsis~~ Заблокирован
	12.01.2012, 19:39	4
	1.Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, true); SetAVZGuardStatus(True); DeleteFile('%windir%\system32\dmowwij.dll'); DeleteFileMask('%windir%\syswow64', '.tmp', false); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. 2.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results* (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 3.сделайте повторные логи avz (стандартный скрипт 2) и rsit в нормальном режиме. 1

@~~Katharsis~~ Заблокирован
	12.01.2012, 21:22	7
	Сообщение от Katharsis Скачайте Malwarebytes' Anti-Malware.. ..... 1

@Slavok -8 / 0 / 0 Регистрация: 12.01.2012 Сообщений: 85
	12.01.2012, 21:36 [ТС]	8
	скачал, установил, обновил, проверил все диски и после этого сделал скрипт авз и рсит Добавлено через 43 секунды а лог забыл, извиняюсь 0

@~~Katharsis~~ Заблокирован
	12.01.2012, 22:32	10
	из найденного mbam этот файлик удалите E:\Users\Слава\AppData\Local\Google\Chrome\User Data\Default\Cache\f_01dae5 (Trojan.Cidox) ощущения как? 1

@Slavok -8 / 0 / 0 Регистрация: 12.01.2012 Сообщений: 85
	12.01.2012, 22:47 [ТС]	11
	в принципе я уже 2 часа полноценно пользуюсь своим пк) удалил 0

@~~Katharsis~~ Заблокирован
	12.01.2012, 23:26	12
	Если больше никаких проблем не возникает, то: Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - регулярно устанавливать обновления windows и обновлять антивирусные базы. - регулярно проверять систему антивирусными утилитами CureIT и AVPTool 1

@Slavok -8 / 0 / 0 Регистрация: 12.01.2012 Сообщений: 85
	13.01.2012, 00:44 [ТС]	13
	Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить нет вкладки дополнительно Добавлено через 10 минут возможно потому что у меня не было точки восстановления? 0

@Slavok -8 / 0 / 0 Регистрация: 12.01.2012 Сообщений: 85
	13.01.2012, 00:59 [ТС]	15
	я создал. а вкладки нет т.к. не было старых точек. Если это все, то спасибо за помощь. 0

	15.01.2012, 18:27

@~~Katharsis~~ Заблокирован
	15.01.2012, 15:29	17
	Сообщение от Slavok Такого пользователя раньше не было ну как это не было))) был давайте посмотрим, может что то зловредное осталось. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." 0

@Slavok -8 / 0 / 0 Регистрация: 12.01.2012 Сообщений: 85
	15.01.2012, 17:55 [ТС]	18
	после запуска программа сказала, что работает НОД и попросила его выключить) как так 0

@~~Katharsis~~ Заблокирован
	15.01.2012, 18:03	19
	как временно выключить антивирус, firewall и другое защитное программное обеспечение 0