Некоторые файлы с разрешением .exe открываются через командную строку и закрываются

Wentwroth · 20.03.2013, 14:08

Здравствуйте. У меня проблема, некоторые файлы с разрешением .exe открываются в командной строке и строка закрывается, также у них пропали картинки (изображение) файла.
Писал сюда - сказали обратиться в этот раздел.
Вот архив: http://rghost.ru/44627419 (uVS)

Angel-iz-Ada · 20.03.2013, 14:22

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код:

;;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETINGS\ADMIN\APPLICATION DATA\CSRSS.EXE
bl 6597E6E790DF1172EB7FD2FFE5B88FFE 288324
addsgn 1A6A369A5583C58CF42B16116E8912C6842AC4B789AC756CDB4605C9576E714E231728510593E04EA046273F7E574990798F006A41DAB07574D420078606A7B3 8 crss
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\FKAPSTY.DLL
bl 0BB32E7961E45F660F533E86631FE9E5 17408
addsgn A7679B1991861A238641584B94379F48CA89B0D275F94B5C7D828F4B829C7219DF554095395A2A4CA805848F06E193A323162A7E5563B32C2D77A7E79C4521BB 64 Win32/TrojanProxy.Agent.NLH
zoo %SystemRoot%\TEMP\3582-490\1488.EXE
bl 80AAA606FCA54654887A1134DBA58CFB 6421504
addsgn FF74B1BB87DD1E1BE4A0851FFDA1FF8FBE46A2777467D24F11493CB3EF287EE3CEE1019331FA76C42E87CE9F469FB77195DAFD7A55DA421FFD781ADD73FED5B3 8 Virus90
zoo %SystemRoot%\TEMP\WINSXRQAQ.EXE
bl 3B7A992AE53EBB41DD1E566E4172E9C0 36010
addsgn 925277BA126AC1CC0B24564E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 a variant of Win32/Spy.Keatep.A [ESE
zoo %SystemRoot%\TEMP\WINOULXYI.EXE
bl 68B7F7A26B76805432E3D50009D2AB1F 12970
addsgn 9252772A136AC1CC0BB4574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/Agent.HLU [NOD32]
zoo %SystemRoot%\SVCHOST.COM
bl 3174DD402A0C31D6B457BD1E5B0DB46F 41472
addsgn A7679B19918A7FB282914E3821209B40C103B91A31AE9F38852BD702AF29428C767FE3D57E55F9B61BE40DBFFEBED8BA7D66E37255DA0A272D77A4C79BE9DD8C 16 Win32.Neshuta
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\1488.EXE
bl E48D89FB608BD6753E02251382BBA1BD 6462976
zoo %SystemDrive%\NNBO.PIF
bl E8F46680AB5A4BA0EADD1F8D3BBF84C9 103140
addsgn 1AEC779A5533CDB39AD6AEB13543C00A8A6178294AFAE06D85D385BC9346E1DCBF07C3573E559D492B80849FFC0649FA7DCFE872F1CAB02C2D77A42FC7062273 8 Virus342342
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SYSTEM32
adddir %SystemRoot%\TEMP
adddir %SystemRoot%\TEMP\3582-490
chklst
delvir
bl 17F69A5104B2A0DB77F2E92287F1099D 205380
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SVCHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ICQM\ICQ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SYSTEM32\CSRSS.EXE
delall %SystemRoot%\TEMP\3582-490\VKSAVER.EXE
delref HTTP://WEBALTA.RU/SEARCH
bl F77457D7013AB0CD1F763F3B9AC5AB0D 461
delall %SystemDrive%\AUTORUN.INF
EXEC cmd /c "reg add HKCR\exefile\shell\open\command /ve /d "\"%1\" %*" /f"
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес sendvirus2011@gmail.com.

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Wentwroth · 20.03.2013, 15:14

Цитата:

- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;

Во время выполнения скрипта вылез синий экран (экран смерти).

safety · 20.03.2013, 15:32

сделайте новый образ автозапуска

Wentwroth · 21.03.2013, 08:57

Вот лог Mbam: http://rghost.ru/44646818
P.S: данный пк стоит у родственников, бывает им пользуюсь..

safety · 21.03.2013, 09:00

удалите найденное в мбам кроме

Цитата:

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перегрузите систему, и сделайте новый образ автозапуска.

Wentwroth · 21.03.2013, 09:08

Цитата:

Сообщение от safety

удалите найденное в мбам кроме

перегрузите систему, и сделайте новый образ автозапуска.

Все-все удалять? (кроме тех трех)

---------- Добавлено в 08:08 ---------- Предыдущее сообщение было написано в 08:05 ----------

Или удалять те файлы, на которых стоят (автоматом) галочки? Или самому везде поставить?

safety · 21.03.2013, 09:32

снять галки только на тех записях, на которые я указал,
остальное все найденное удалить.

Wentwroth · 21.03.2013, 09:44

Хорошо. А после того, как удалю - мне опять сделать лог в Mbam и выложить сюда?

safety · 21.03.2013, 10:41

перегрузите систему, и сделайте новый образ автозапуска.
http://pchelpforum.ru/showpost.php?p=593305&postcount=3

Wentwroth · 21.03.2013, 13:52

Цитата:

Сообщение от safety

перегрузите систему, и сделайте новый образ автозапуска.
http://pchelpforum.ru/showpost.php?p=593305&postcount=3

Вот: http://rghost.ru/44649920
P.S: Проблема осталась.

safety · 21.03.2013, 14:01

файловое заражение
лучше пролечить систему с Live.CD
---------------
пролечите систему с помощью Live.CD
DrWeb
http://www.freedrweb.com/livecd/
или ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/

затем можно сдлеать логи по правилам для проверки
http://pchelpforum.ru/f26/t6442/

safety · 21.03.2013, 14:02

на чистой машине записать загрузочный диск, и с его помощью просканировать полностью систему.

Wentwroth · 21.03.2013, 14:13

Не понял

safety · 21.03.2013, 14:25

ладно,
пробуем еще раз скриптом
--------------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemRoot%\TEMP\WINSBYMG.EXE
addsgn 9252772A136AC1CC0BB4574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/Agent.HLU [NOD32]
delref /C
delall %SystemRoot%\TEMP\WINSBYMG.EXE
delall %SystemDrive%\AUTORUN.INF
deltmp
delnfr
regt 5
regt 14
restart

перезагрузка,
добавить новый образ автозапуска
----------

20.03.2013, 14:08	#1 (ссылка)
Wentwroth Новичок Регистрация: 20.03.2013 Сообщений: 22 Репутация: 0	Некоторые файлы с разрешением .exe открываются через командную строку и закрываются Здравствуйте. У меня проблема, некоторые файлы с разрешением .exe открываются в командной строке и строка закрывается, также у них пропали картинки (изображение) файла. Писал сюда - сказали обратиться в этот раздел. Вот архив: http://rghost.ru/44627419 (uVS)

20.03.2013, 14:22	#2 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Здравствуйте! Выполните следующий скрипт в uVS: - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива); - копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст); Код: ;;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETINGS\ADMIN\APPLICATION DATA\CSRSS.EXE bl 6597E6E790DF1172EB7FD2FFE5B88FFE 288324 addsgn 1A6A369A5583C58CF42B16116E8912C6842AC4B789AC756CDB4605C9576E714E231728510593E04EA046273F7E574990798F006A41DAB07574D420078606A7B3 8 crss zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\FKAPSTY.DLL bl 0BB32E7961E45F660F533E86631FE9E5 17408 addsgn A7679B1991861A238641584B94379F48CA89B0D275F94B5C7D828F4B829C7219DF554095395A2A4CA805848F06E193A323162A7E5563B32C2D77A7E79C4521BB 64 Win32/TrojanProxy.Agent.NLH zoo %SystemRoot%\TEMP\3582-490\1488.EXE bl 80AAA606FCA54654887A1134DBA58CFB 6421504 addsgn FF74B1BB87DD1E1BE4A0851FFDA1FF8FBE46A2777467D24F11493CB3EF287EE3CEE1019331FA76C42E87CE9F469FB77195DAFD7A55DA421FFD781ADD73FED5B3 8 Virus90 zoo %SystemRoot%\TEMP\WINSXRQAQ.EXE bl 3B7A992AE53EBB41DD1E566E4172E9C0 36010 addsgn 925277BA126AC1CC0B24564E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 a variant of Win32/Spy.Keatep.A [ESE zoo %SystemRoot%\TEMP\WINOULXYI.EXE bl 68B7F7A26B76805432E3D50009D2AB1F 12970 addsgn 9252772A136AC1CC0BB4574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/Agent.HLU [NOD32] zoo %SystemRoot%\SVCHOST.COM bl 3174DD402A0C31D6B457BD1E5B0DB46F 41472 addsgn A7679B19918A7FB282914E3821209B40C103B91A31AE9F38852BD702AF29428C767FE3D57E55F9B61BE40DBFFEBED8BA7D66E37255DA0A272D77A4C79BE9DD8C 16 Win32.Neshuta zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\1488.EXE bl E48D89FB608BD6753E02251382BBA1BD 6462976 zoo %SystemDrive%\NNBO.PIF bl E8F46680AB5A4BA0EADD1F8D3BBF84C9 103140 addsgn 1AEC779A5533CDB39AD6AEB13543C00A8A6178294AFAE06D85D385BC9346E1DCBF07C3573E559D492B80849FFC0649FA7DCFE872F1CAB02C2D77A42FC7062273 8 Virus342342 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SYSTEM32 adddir %SystemRoot%\TEMP adddir %SystemRoot%\TEMP\3582-490 chklst delvir bl 17F69A5104B2A0DB77F2E92287F1099D 205380 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SVCHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ICQM\ICQ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SYSTEM32\CSRSS.EXE delall %SystemRoot%\TEMP\3582-490\VKSAVER.EXE delref HTTP://WEBALTA.RU/SEARCH bl F77457D7013AB0CD1F763F3B9AC5AB0D 461 delall %SystemDrive%\AUTORUN.INF EXEC cmd /c "reg add HKCR\exefile\shell\open\command /ve /d "\"%1\" %" /f" deltmp delnfr czoo restart - затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена; - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши; - обязательно закрываете* все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить; - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее; - по окончанию выполнения скрипта компьютер перезагрузится. - в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес sendvirus2011@gmail.com. - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

21.03.2013, 14:25	#15 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	ладно, пробуем еще раз скриптом -------------------- выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemRoot%\TEMP\WINSBYMG.EXE addsgn 9252772A136AC1CC0BB4574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/Agent.HLU [NOD32] delref /C delall %SystemRoot%\TEMP\WINSBYMG.EXE delall %SystemDrive%\AUTORUN.INF deltmp delnfr regt 5 regt 14 restart перезагрузка, добавить новый образ автозапуска ----------

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Некоторые файлы с разрешением .exe открываются через командную строку и закрывается	Wentwroth	Программы	6	21.03.2013 11:07
Как запустить командную строку до входа в аккаунт?	DarkSider	Утилиты	0	14.04.2012 19:18
как открыть командную строку	ЪмитькаЪ	Windows XP	9	21.03.2011 17:17
Как убрать командную строку ...	nurasyl	Windows XP	4	05.11.2010 11:42
Вопрос про командную строку	sasha3050	Утилиты	4	09.09.2010 11:32

20.03.2013, 15:32	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	сделайте новый образ автозапуска

21.03.2013, 08:57	#5 (ссылка)
Wentwroth Новичок Регистрация: 20.03.2013 Сообщений: 22 Репутация: 0	Вот лог Mbam: http://rghost.ru/44646818 P.S: данный пк стоит у родственников, бывает им пользуюсь..

21.03.2013, 09:32	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	снять галки только на тех записях, на которые я указал, остальное все найденное удалить.

21.03.2013, 09:44	#9 (ссылка)
Wentwroth Новичок Регистрация: 20.03.2013 Сообщений: 22 Репутация: 0	Хорошо. А после того, как удалю - мне опять сделать лог в Mbam и выложить сюда?

21.03.2013, 10:41	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	перегрузите систему, и сделайте новый образ автозапуска. http://pchelpforum.ru/showpost.php?p=593305&postcount=3

21.03.2013, 14:01	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	файловое заражение лучше пролечить систему с Live.CD --------------- пролечите систему с помощью Live.CD DrWeb http://www.freedrweb.com/livecd/ или ESET rescue http://forum.esetnod32.ru/forum9/topic1966/ затем можно сдлеать логи по правилам для проверки http://pchelpforum.ru/f26/t6442/

21.03.2013, 14:02	#13 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	на чистой машине записать загрузочный диск, и с его помощью просканировать полностью систему.

21.03.2013, 14:13	#14 (ссылка)
Wentwroth Новичок Регистрация: 20.03.2013 Сообщений: 22 Репутация: 0	Не понял

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads