И снова winexp.exe

sworms · 29.05.2010, 23:38

На компе завелся вирус. Обратил внимание когда начал пощелкивать комп и обращаться к почтовому клиенту. На компе стоит вебер, но судя по дате не обновлялся уже с неделю. Нашел файл winexp.exe. Сначала удалил просто, предварительно закрыв процесс. Не помогло. Второй раз почистил автозагрузку и реестры. Щелкать вроде перестало, но доступа к некоторым сайтам нет (вирусинфо, вебер и т.д.).

snifer67 · 29.05.2010, 23:41

http://pchelpforum.ru/f26/t6442/

sworms · 30.05.2010, 00:03

Попробовал сделать так как написано в инструкции на сайте

Ссылка на лог программы Hijackthis
http://exfile.ru/104396

Ссылка на virusinfo_syscure.zip
http://exfile.ru/104397

---------- Добавлено в 21:03 ---------- Предыдущее сообщение было написано в 21:02 ----------

snifer67, немного не успел долго сканировало

winshelp · 30.05.2010, 00:48

sworms, здравствуйте.
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!
Закройте/выгрузите все программы кроме AVZ.
Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$data','');
QuarantineFile('C:\WINDOWS\winlogin.exe','');
DeleteFile('C:\WINDOWS\winlogin.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$data');
DeleteFile('C:\WINDOWS\Tasks\system.job');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
-----
Выполнить еще такой скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by
------
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум.
----
Так же обратите внимание на эти директории с патченными файлами с расширением .bak
это не всегда вирусы, возможно просто бекапы сделанные программами.

Посмотрите в эти папки на файлы с расширением .bak
C:\Program Files\Sony\Shared Plug-Ins\Audio
C:\Program Files\Sony\Sound Forge Pro 10.0

sworms · 30.05.2010, 01:13

winshelp, доброй ночи
скрипты выполнил
вроде помогло, по крайней мене на страничку вебера пустило
большое спасибо!

Ссылка на virusinfo_syscheck.zip
http://exfile.ru/104403

Вопрос по поводу файла quarantine.zip
он получился больше 30 метров и мой почтовик его напрямую не пропускает
если обязательно нужно, могу отправить его частями

winshelp · 30.05.2010, 01:23

Карантин желательно, но если не можете, то не обязательно.
Сейчас гляну свежий лог!

---------- Добавлено в 20:23 ---------- Предыдущее сообщение было написано в 20:15 ----------

Это похоже ваша какая то шифровалка, или для скрытия папок и файлов:
MySecretFolder XP - не обязательно вирус, просто авз заругалась на некоторые ее файлы.
Наверное просто ложняки авз.
Ни чего плохого больше не увидел.

sworms · 30.05.2010, 01:25

winshelp,
еще раз большое человеческое спасибо

29.05.2010, 23:38	#1 (ссылка)
sworms Новичок Регистрация: 29.05.2010 Сообщений: 4 Репутация: 0	И снова winexp.exe На компе завелся вирус. Обратил внимание когда начал пощелкивать комп и обращаться к почтовому клиенту. На компе стоит вебер, но судя по дате не обновлялся уже с неделю. Нашел файл winexp.exe. Сначала удалил просто, предварительно закрыв процесс. Не помогло. Второй раз почистил автозагрузку и реестры. Щелкать вроде перестало, но доступа к некоторым сайтам нет (вирусинфо, вебер и т.д.).

30.05.2010, 00:48	#4 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	sworms, здравствуйте. Отключите компьютер от Интернет/локалки. Закройте/отключите на время выполнения скрипта всё защитное ПО !!! Закройте/выгрузите все программы кроме AVZ. Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/ AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$data',''); QuarantineFile('C:\WINDOWS\winlogin.exe',''); DeleteFile('C:\WINDOWS\winlogin.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$data'); DeleteFile('C:\WINDOWS\Tasks\system.job'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. ----- Выполнить еще такой скрипт в AVZ. Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by ------ Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум. ---- Так же обратите внимание на эти директории с патченными файлами с расширением .bak это не всегда вирусы, возможно просто бекапы сделанные программами. Посмотрите в эти папки на файлы с расширением .bak C:\Program Files\Sony\Shared Plug-Ins\Audio C:\Program Files\Sony\Sound Forge Pro 10.0 Последний раз редактировалось winshelp; 30.05.2010 в 00:55.

30.05.2010, 01:23	#6 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Карантин желательно, но если не можете, то не обязательно. Сейчас гляну свежий лог! ---------- Добавлено в 20:23 ---------- Предыдущее сообщение было написано в 20:15 ---------- Это похоже ваша какая то шифровалка, или для скрытия папок и файлов: MySecretFolder XP - не обязательно вирус, просто авз заругалась на некоторые ее файлы. Наверное просто ложняки авз. Ни чего плохого больше не увидел. Последний раз редактировалось winshelp; 30.05.2010 в 01:45.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
И снова они....	by.	Безопасность	8	10.01.2011 13:38
и снова ищу музыку	krab	Общение по интересам	3	29.12.2010 15:11
на компьютере появились IeCheck.exe и winexp.exe Помогите избавиться.	Guest123	Безопасность	15	08.12.2010 13:51
pornhub.com снова	Annexy	Безопасность	1	05.07.2010 22:36
Вирус winexp.exe. Что делать???	Leks	Безопасность	19	01.06.2010 22:19
Вирус - winexp.exe	inlife	Безопасность	9	01.06.2010 21:34
И снова pornhub.com...	a1bT	Безопасность	15	24.05.2010 14:41
И снова Османский	SacredHash	Безопасность	8	19.05.2010 20:07
И снова баннер	waters	Безопасность	4	13.05.2010 13:27
Вирус systemxp.exe, winexp.exe	Anisa	Безопасность	13	30.04.2010 11:02
И снова о вай фай	Kjane17	Интернет и сети	1	23.09.2009 10:59
Снова про USB	Ujines	Неисправности, настройка	4	08.09.2009 19:46

29.05.2010, 23:41	#2 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	http://pchelpforum.ru/f26/t6442/

30.05.2010, 00:03	#3 (ссылка)
sworms Новичок Регистрация: 29.05.2010 Сообщений: 4 Репутация: 0	Попробовал сделать так как написано в инструкции на сайте Ссылка на лог программы Hijackthis http://exfile.ru/104396 Ссылка на virusinfo_syscure.zip http://exfile.ru/104397 ---------- Добавлено в 21:03 ---------- Предыдущее сообщение было написано в 21:02 ---------- snifer67, немного не успел долго сканировало

30.05.2010, 01:13	#5 (ссылка)
sworms Новичок Регистрация: 29.05.2010 Сообщений: 4 Репутация: 0	winshelp, доброй ночи скрипты выполнил вроде помогло, по крайней мене на страничку вебера пустило большое спасибо! Ссылка на virusinfo_syscheck.zip http://exfile.ru/104403 Вопрос по поводу файла quarantine.zip он получился больше 30 метров и мой почтовик его напрямую не пропускает если обязательно нужно, могу отправить его частями

30.05.2010, 01:25	#7 (ссылка)
sworms Новичок Регистрация: 29.05.2010 Сообщений: 4 Репутация: 0	winshelp, еще раз большое человеческое спасибо

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads