Проблемы с Windows 7 после удаления (или нет) вируса

Desilius · 22.06.2012, 21:25

Ситуация такая, есть Windows 7 x64 Домашняя расширенная (лицензия). Недавно
поймал вирус, который просил ввести номер телефона вконтакте,твиттере и т.д., с номера 5581 приходил запрос на ответную платную смс. Я сразу запустил Cure It, и, просканировав систему, вроде бы нашел злодея и удалил его. Но после первой перезагрузки заставка на экране "Вход в Windows" где выбор пользователя поменялась, виндоус стал как "Widnows 7 (восстановленный)" и стал очень долго грузится. После загрузки у папок и всех процессов explorer нету значков, при запуске любого инсталляционного файла (с оранжевым щитом) выходит ошибка "системе не удается найти указанный параметр среды", тоесть что-то с переменными и "запуском от имени администратора", у меня не хватает прав на запуски многих процессов, не работают почти все службы, интернет остутствует, половина вкладок в панели управления не запускается, пришлось все логи делать в безопасном режиме, при этом в безопасном файлы запускаются, но половина служб в т.ч. интернет отсутствуют. Пытался восстановить переменные через batник, но безрезультатно. Такое ощущение, что зараза еще сидит в компьютере.

Полные проверки через Cure It и Kaspersky Rescue Disk ничего кроме кейгенов не нашли.
Точки восстановления куда-то пропали.
Надеюсь на вашу помощь, заранее вас благодарю.

Логи:
http://rghost.ru/38815176 AVZ
http://rghost.ru/38815087 uVS
http://rghost.ru/38815158 RSIT

safety · 22.06.2012, 22:06

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\КУРАГА\APPDATA\ROAMING\NETPROTOCOL.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

Desilius · 22.06.2012, 22:56

Скрипт выполнил, все так же не работают службы, а в небезопасном режиме везде выходит та же ошибка
"системе не удается найти указанный параметр среды" - при запуске любого ехе или службы.
В Malware при "быстром сканировании" все чисто и по нулям.
Получается вирус все-таки удалил эти переменные? (как я понял связанные с администратором) И как их восстановить если это так? В безопасном .ехе запускаются, но службы недоступны.

Гризлик · 22.06.2012, 23:05

Desilius, Проверьте переменные среды: Панель управления - Система - Дополнительные параметры системы - Переменные среды - по умолчанию переменные такие:

Имя / Значение

ComSpec / %SystemRoot%\system32\cmd.exe

Path / %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\Sy stem32\Wberm;

PATHEXT / .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

потом несколько несущественных в данном случае значений

TEMP / %SystemRoot%\TEMP

TMP / %SystemRoot%\TEMP

windir / %SystemRoot%

Desilius · 22.06.2012, 23:24

Ошибка >
%windir%\system32\systempropertiesadvanced.exe

Не удается найти "%windir%\system32\systempropertiesadvanced.ex e". Проверьте правильно ли указано имя и повторите попытку.
<
Файл есть, имя правильное, только что зашел в system32,
Если запускать напрямую, выдается та ошибка про "параметры среды". Получается замкнутый круг.
Почему так может быть? и реально ли сделать откат без точек восстановления?

Гризлик · 22.06.2012, 23:44

Desilius, Этот твик попробуйте http://rghost.ru/38818125 После чего перезагрузитесь

Desilius · 23.06.2012, 00:09

Гризлик, Из обычного режима все тот же "не удается найти параметр среды...", и я только сейчас понял, что все мои пользователи перестали быть "администраторами" и даже не могут зайти в файлы друг друга. При создании нового пользователя с правами администратора - такая же ситуация.

Запустил файл из безопасного режима, перезагрузился и... СУПЕР, почти все заработало! Компьютер стал грузится быстро, у eplorer.exe появилась иконка и запускаются .ехе файлы и др!
Гризлик, как я тебе благодарен, ты не представляешь. Спасибо тебе и всей вашей команде!

Единственное, как я написал чуть ранее, все пользователи стали обычными пользователями, а не администраторами и отключена служба, отвечающая за интернет (стоит красный крестик на подключении) Как я понял, это нужно зайти через главного админа (его нету при выборе пользователей, как это сделать?) и изменить права доступа у пользователей?

Гризлик · 23.06.2012, 00:18

Цитата:

Сообщение от Desilius

) Как я понял, это нужно зайти через главного админа (его нету при выборе пользователей, как это сделать?)

Попробуйте выполнить в командной строке

Код:

net user Администратор /active:yes

(Если Windows английский то соответсвенно вместо Администратор нужно писать Administrator) После чего перезагрузитесь. Поидее должен в меню выбора пользователя появится Администратор

Desilius · 23.06.2012, 00:47

Все получилось, но интернет все так же по непонятным причинам отсутствует. При диагностике проблемы - <Обнаруженные проблемы
Служба политики диагностики не запущена >

А в < просмотр основных сведений о сети
Нет данных
Не удалось запустить дочернюю службу >

Есть какие-нибудь идеи почему такое может быть?

Гризлик · 23.06.2012, 00:50

Desilius, Панель управления--Администратирование--Просмотр событий--Журналы Windows--Система
Какие там ошибки есть?

Desilius · 23.06.2012, 01:30

Служба политики диагностики завершена из-за ошибки, отказано в доступе.

Делал это из под Администратора.

Гризлик · 23.06.2012, 01:38

Desilius, Это решение попробуйте http://support.microsoft.com/kb/943996

djleuha · 15.11.2012, 15:48

Цитата:

Сообщение от Гризлик

Desilius, Этот твик попробуйте http://rghost.ru/38818125 После чего перезагрузитесь

Здравствуйте! у меня такаяже проблема. я хочу сделать как сдесь написано только многого ещё не понимаю например что такое твик я прошёл по этой ссылке а там написано что удаленно. подскажите что делать

---------- Добавлено в 13:48 ---------- Предыдущее сообщение было написано в 13:45 ----------

у меня только интернет работает. всё началось с того что диск с стал заполнятся сам по себе. наверно это вирус но мой антивирус нечего не находет. я стал очищать его может что удалил не то. что делать?

Filkin · 27.11.2012, 17:07

ситуация и у меня такая, выложенный файл удален. ребят, подскажите что делать?

22.06.2012, 21:25	#1 (ссылка)
Desilius Новичок Регистрация: 24.02.2011 Сообщений: 9 Репутация: 0	Проблемы с Windows 7 после удаления (или нет) вируса Ситуация такая, есть Windows 7 x64 Домашняя расширенная (лицензия). Недавно поймал вирус, который просил ввести номер телефона вконтакте,твиттере и т.д., с номера 5581 приходил запрос на ответную платную смс. Я сразу запустил Cure It, и, просканировав систему, вроде бы нашел злодея и удалил его. Но после первой перезагрузки заставка на экране "Вход в Windows" где выбор пользователя поменялась, виндоус стал как "Widnows 7 (восстановленный)" и стал очень долго грузится. После загрузки у папок и всех процессов explorer нету значков, при запуске любого инсталляционного файла (с оранжевым щитом) выходит ошибка "системе не удается найти указанный параметр среды", тоесть что-то с переменными и "запуском от имени администратора", у меня не хватает прав на запуски многих процессов, не работают почти все службы, интернет остутствует, половина вкладок в панели управления не запускается, пришлось все логи делать в безопасном режиме, при этом в безопасном файлы запускаются, но половина служб в т.ч. интернет отсутствуют. Пытался восстановить переменные через batник, но безрезультатно. Такое ощущение, что зараза еще сидит в компьютере. Полные проверки через Cure It и Kaspersky Rescue Disk ничего кроме кейгенов не нашли. Точки восстановления куда-то пропали. Надеюсь на вашу помощь, заранее вас благодарю. Логи: http://rghost.ru/38815176 AVZ http://rghost.ru/38815087 uVS http://rghost.ru/38815158 RSIT

22.06.2012, 22:06	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\КУРАГА\APPDATA\ROAMING\NETPROTOCOL.EXE deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Windows 7 64 после удаления вируса	netzerg	Windows 7	2	14.12.2010 13:58
Проблема после удаления вируса	ACuK	Безопасность	7	12.05.2010 11:58
После удаления вируса не работают игры	Ulia	Windows XP	11	16.10.2009 15:53
Проблемы с компьютером после удаления вируса. Помогите!	deehale	Безопасность	1	28.07.2009 17:18
Проблемы после удаления вируса	Centurion_MK8	Безопасность	4	21.08.2008 11:41

22.06.2012, 22:56	#3 (ссылка)
Desilius Новичок Регистрация: 24.02.2011 Сообщений: 9 Репутация: 0	Скрипт выполнил, все так же не работают службы, а в небезопасном режиме везде выходит та же ошибка "системе не удается найти указанный параметр среды" - при запуске любого ехе или службы. В Malware при "быстром сканировании" все чисто и по нулям. Получается вирус все-таки удалил эти переменные? (как я понял связанные с администратором) И как их восстановить если это так? В безопасном .ехе запускаются, но службы недоступны.

22.06.2012, 23:05	#4 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	Desilius, Проверьте переменные среды: Панель управления - Система - Дополнительные параметры системы - Переменные среды - по умолчанию переменные такие: Имя / Значение ComSpec / %SystemRoot%\system32\cmd.exe Path / %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\Sy stem32\Wberm; PATHEXT / .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH потом несколько несущественных в данном случае значений TEMP / %SystemRoot%\TEMP TMP / %SystemRoot%\TEMP windir / %SystemRoot%

22.06.2012, 23:24	#5 (ссылка)
Desilius Новичок Регистрация: 24.02.2011 Сообщений: 9 Репутация: 0	Ошибка > %windir%\system32\systempropertiesadvanced.exe Не удается найти "%windir%\system32\systempropertiesadvanced.ex e". Проверьте правильно ли указано имя и повторите попытку. < Файл есть, имя правильное, только что зашел в system32, Если запускать напрямую, выдается та ошибка про "параметры среды". Получается замкнутый круг. Почему так может быть? и реально ли сделать откат без точек восстановления?

22.06.2012, 23:44	#6 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	Desilius, Этот твик попробуйте http://rghost.ru/38818125 После чего перезагрузитесь

23.06.2012, 00:09	#7 (ссылка)
Desilius Новичок Регистрация: 24.02.2011 Сообщений: 9 Репутация: 0	Гризлик, Из обычного режима все тот же "не удается найти параметр среды...", и я только сейчас понял, что все мои пользователи перестали быть "администраторами" и даже не могут зайти в файлы друг друга. При создании нового пользователя с правами администратора - такая же ситуация. Запустил файл из безопасного режима, перезагрузился и... СУПЕР, почти все заработало! Компьютер стал грузится быстро, у eplorer.exe появилась иконка и запускаются .ехе файлы и др! Гризлик, как я тебе благодарен, ты не представляешь. Спасибо тебе и всей вашей команде! Единственное, как я написал чуть ранее, все пользователи стали обычными пользователями, а не администраторами и отключена служба, отвечающая за интернет (стоит красный крестик на подключении) Как я понял, это нужно зайти через главного админа (его нету при выборе пользователей, как это сделать?) и изменить права доступа у пользователей?

23.06.2012, 00:47	#9 (ссылка)
Desilius Новичок Регистрация: 24.02.2011 Сообщений: 9 Репутация: 0	Все получилось, но интернет все так же по непонятным причинам отсутствует. При диагностике проблемы - <Обнаруженные проблемы Служба политики диагностики не запущена > А в < просмотр основных сведений о сети Нет данных Не удалось запустить дочернюю службу > Есть какие-нибудь идеи почему такое может быть?

23.06.2012, 00:50	#10 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	Desilius, Панель управления--Администратирование--Просмотр событий--Журналы Windows--Система Какие там ошибки есть?

23.06.2012, 01:30	#11 (ссылка)
Desilius Новичок Регистрация: 24.02.2011 Сообщений: 9 Репутация: 0	Служба политики диагностики завершена из-за ошибки, отказано в доступе. Делал это из под Администратора.

23.06.2012, 01:38	#12 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	Desilius, Это решение попробуйте http://support.microsoft.com/kb/943996

27.11.2012, 17:07	#14 (ссылка)
Filkin Новичок Регистрация: 27.11.2012 Сообщений: 1 Репутация: 0	ситуация и у меня такая, выложенный файл удален. ребят, подскажите что делать?

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)