Решена Пропал cmd.exe

Статус
В этой теме нельзя размещать новые ответы.

BdV

Пользователь
Сообщения
16
Реакции
2
Доброго времени суток!
Обнаружилась проблема при установке джентельменского набора Денвера 3. Установщик писал "ошибка конфигурации":


http://safezone.cc/forum/attachment.php?attachmentid=4704&stc=1&d=1306578151

Попытки исправить переменную среды Path не привели к успеху.
Попутно было "случайно" обнаружено, что cmd.exe вообще отсутствует...
Прошу помощи специалистов.
 

Вложения

  • virusinfo_syscure.zip
    21.3 KB · Просмотры: 6
  • virusinfo_syscheck.zip
    25.1 KB · Просмотры: 2
  • avz_log_info_28-05-2011.txt
    20.4 KB · Просмотры: 1
  • avz_log_28-05-2011.txt
    7.5 KB · Просмотры: 0
  • error_Denver.JPG
    error_Denver.JPG
    58 KB · Просмотры: 144
Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Смотрю логи скоро отвечу
 

BdV

Пользователь
Сообщения
16
Реакции
2
Заранее благодарен.
Я бы не обращался, но комп не мой, и диска с которого устанавливалась винда, нет. Процедура восстановления с других дисков не запускается...
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\asyvceln.SYS','');
BC_ImportAll;
 BC_QrFile('C:\WINDOWS\System32\Drivers\asyvceln.SYS');
BC_Activate;
 ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT.

А так же подготовьте лог GMER
 

BdV

Пользователь
Сообщения
16
Реакции
2
Логи отправил формой.
В файл virusinfo_cure.zip сложил все логи AVZ, RSIT и GMER.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Логи отправил формой.
В файл virusinfo_cure.zip сложил все логи AVZ, RSIT и GMER.

Формой надо было отправлять карантин, вирусным аналитикам логи ни к чему, прикрепите логи к следующему сообщению.
 

BdV

Пользователь
Сообщения
16
Реакции
2
Извините, не понял вас сразу...
 

Вложения

  • logi_for_Severnyj.zip
    66.7 KB · Просмотры: 5

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service vzwwxl
gmer.exe -del file "C:\WINDOWS\system32\uxlab.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vzwwxl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vzwwxl"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Повторите логи AVZ, RSIT и GMER.
 

BdV

Пользователь
Сообщения
16
Реакции
2
После выполнения скрипта 2 авз и перезагрузки, винда выдала окошко, что восстановлена после серьезной ошибки. Логи в архиве.
Денвер встал без проблем! Огромнейшее спасибо вам ребята!!!!!!!!!!!
С чем связан подобный сбой, в двух словах?
 

Вложения

  • logi_for_Severnyj_2.zip
    81.2 KB · Просмотры: 3

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Погодите с окончанием лечения у Вас руткит и по-видимому серьезный.

Червь возвращается к Вам снова через незакрытые уязвимости.

Необходимо закрыть уязвимости, установив обновления:

Microsoft Windows XP Professional Service Pack 2 - Внимание, Windows XP SP2 больше не поддерживается, перед проверкой обновлений скачайте и установите Servce Pack 3 (может потребоваться повторная активация) и все последние обновления Windows.
- установите Internet Explorer 8.0 (даже если им не пользуетесь) и все последние обновления для него.
Удалите или обновите до последней версии Acrobat 7.0

После указанных процедур
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 

BdV

Пользователь
Сообщения
16
Реакции
2
Скачал и установил рекомендованные обновления. Установил SP3, после перезагрузки система повисла. Перезагрузил выбрав "последняя работоспособная конфигурация", заработало. Винда снова выдала "восстановлена после серьёзной ошибки", логи в файле. Установил IE8, также было окошко с ошибкой. Результат комбофикс также в файле.
 

Вложения

  • logi_for_Severnyj_3.zip
    31.5 KB · Просмотры: 5

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

NetSvc::
vzwwxl

Driver::
vzwwxl

DDS::
uDefault_Search_URL = hxxp://webalta.ru/poisk
mSearch Bar = hxxp://webalta.ru/poisk
uSearchAssistant = hxxp://webalta.ru/poisk

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4531:TCP"=-

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

BdV

Пользователь
Сообщения
16
Реакции
2
Сделал
 

Вложения

  • logi_for_Severnyj_4.zip
    3.9 KB · Просмотры: 4

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,612
Реакции
13,979
Вы обновили Windows?

Добавлено через 10 секунд
Скачайте Malwarebytes' Anti-Malware.

- установите программу и обновите базы

- После запуска программы выбирете пункт "Полное сканирование" и нажмите "Сканирование".

- после окончания сканирования нажмите "ОК" => "Показать результаты". Выберите пункт "Сохранить отчет", сохраните файл который необходимо прикрепить к следующему своему сообщению.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Все-таки обновится надо любым образом, все у Вас как было, так и осталось, попробуйте установить обновления, отключив антивирус и файрволл или в безопасном режиме.
 

BdV

Пользователь
Сообщения
16
Реакции
2
Обновиться-то я вроде обновился. Сейчас пишет SP3. И EI8 стал. Устанавливал естественно с отключённым антивирусом и файерволом. Накатить SP3 и рекомендованные 3 обновления ещё раз в безопасном режиме?

Отчёт Malwarebytes' Anti-Malware прикрепил.
Нашёл 3 заражённых объекта. Рекомендуете удалить их?
 

Вложения

  • mbam-log-2011-05-29 (16-29-34).txt
    1.3 KB · Просмотры: 2
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Надо кроме SP3 поставить все обновления после него.

Отчета MBAM не вижу.
 

BdV

Пользователь
Сообщения
16
Реакции
2
Сори, отчёт прикрепил.
Т.е. можно поставить галочку автоматическое обновление? Или есть архивы со всеми обновлениями после SP3?
 

Вложения

  • mbam-log-2011-05-29 (16-29-34).txt
    1.3 KB · Просмотры: 3

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Найденное MBAM можете оставить.

Есть программа WSUS Offline, которая скачает все обновления в указанную папку и создаст файл который необходимо запустить, чтобы установить скаченные обновления.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу