Решена Неверные ассоциации EXE файлов

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Dragokas, 3 ноя 2013.

Статус темы:
Закрыта.
  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Вместо исполнения файла появляется диалоговое окно Internet Explorer о загрузке этого файла из локального каталога (путь не подменяется).
    При выборе кнопки "Запустить" появляется окно. Подтвердить скачивание из неизвестного источника?". При ответе "Запустить", начинается все по кругу.

    123.png 12345.png

    После перезагрузки ViruLogs также не смог стартовать 2-й этап сканирования, так как его запуск назначен в реестре через CMD.exe.
    Буду улучшать процедуру.

    Во время работы RSIT возникла вот такая ошибка:

    123456.png

    После отмены набора модема, RSIT успешно продолжил сканирование.

    Во время работы SITLog в момент запуска HJT появилось окно загрузки, как я описывал раньше.
    (т.е. HJT не смог запуститься).

    Вероятно, все еще действует вирус.
     

    Вложения:

    Последнее редактирование: 3 ноя 2013
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    C:\Photo\Photo.exe - сам устанавливал?

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Photo\Photo.exe','');
     QuarantineFile('C:\Users\User\Pictures\Съемный диск\Photo.exe','');
     QuarantineFile('F:\Photo.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     ExecuteRepair(1);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы
     
    Dragokas нравится это.
  3. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Без понятия. Все лишнее можно смело удалять.
    Судя по списку установленных программ ничего связанного с фото нет.
    В папке C:\Photo только этот EXE.

    Карантин отправил.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Подхватил заразу таки:
    C:\Photo\Photo.exe - (Win32.HLLW.Autoruner1.20291, Worm.Win32.Delf.SQM, Worm:Win32/Tophos.C)
    --- Объединённое сообщение, 3 ноя 2013 ---
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     DeleteFile('C:\Photo\Photo.exe','32');
     DeleteFile('F:\Photo.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\{4CEDED50-BD08-4BE7-8B4F-73DC15CB27D7}','64');
     DeleteFile('C:\Windows\system32\Tasks\{5B645F02-32B2-47BA-888A-7C272EF3E51F}','64');
     DeleteFile('C:\Windows\system32\Tasks\{8EB1C13A-FD20-4713-A53E-8EB856478AFE}','64');
     DeleteFile('C:\Users\User\Pictures\Съемный диск\Photo.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\{C5E94905-7409-473B-B16A-22780F3A3626}','64');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы


    ++ нужны логи MBAM и HJT
    --- Объединённое сообщение, 3 ноя 2013, Дата первоначального сообщения: 3 ноя 2013 ---
    Общий доступ сам предоставлял?



    Код (Text):
    players D:\Call of Duty - Black Ops\players
    Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
    Users C:\Users
     
     
    Последнее редактирование: 3 ноя 2013
    Dragokas нравится это.
  5. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Да, но сперва ведь нужно ассоциацию починить.
    MBAM-установщик не запустится.

    100% вирь.
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Уже пробовал ранее, не восстановило.
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
     ExecuteRepair(1);
     RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Проверяем ассоциации
    --- Объединённое сообщение, 3 ноя 2013 ---
    ++ нужные свежие логи AVZ
     
    Последнее редактирование: 3 ноя 2013
    Dragokas нравится это.
  7. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Карантин отправил.

    MBAM установщик после переименования в .PIF выдал ошибку:
    PIF.png
    в .COM также не захотел:
    COM.png
    HJT.pif нормально отработал.

    AVZ. Восстановление системы # 1 с перезагрузкой не решило проблемы с ассоциациями.
    EXE-шники все еще имеют иконку IE.

    После повторного выполнения стандартного скрипта # 3 и перезагрузки рабочий стол стал неактивен:
    иконки есть, но кликнуть по ним не могу. Правый клик мыши по свободной области тоже никакой реакции.
    Работает только панель задач и комбинации клавиш.

    В корне диска C заметил файл Photo.exe. Хеш MD5 - 284D082D736E17F72DF14DAD8E5374D7

    Логи AVZ, HJT:
     

    Вложения:

  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    AVZ уже ничего не видит. План Б
    Подготовьте лог UVS
     
    Dragokas нравится это.
  9. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Ну все. А стандартный скрипт # 2 накрыл возможность запуска таких объектов как "Панель управления", "Мой компьютер"... через кнопку "Пуск".

    UVS удалось запустить через Task Manager, Файл, обзор, + переименовав его в .pif.
     

    Вложения:

  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Создай точку восстановления системы.

    Выполните скрипт UVS и пришлите карантин
    Код (Text):

    ;uVS v3.81.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1

    OFFSGNSAVE
    sreg

    ; C:\PHOTO.EXE
    addsgn A7679B19919AF40E0399AE5944F1E1FA84CE69BB89711F902DBE3B43F192E401239CC3917E0E9DE86F15C99FCD16F3DA1392E89A91AD4ED3A67A00B98A068337 8 photo.exe

    zoo %SystemDrive%\PHOTO.EXE
    bl 284D082D736E17F72DF14DAD8E5374D7 1157641
    ; zoo %SystemDrive%\PHOTO.EXE
    zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IAEAIUB.EXE
    ; C:\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IAEAIUB.EXE
    bl 391306140EC3D733EC31A9BE071AC6D1 544
    delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IAEAIUB.EXE
    zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IFVXXGW.EXE
    ; C:\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IFVXXGW.EXE
    bl 5779CECD7FFD06480C14098D993126F4 544
    delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IFVXXGW.EXE
    zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IPFGC9N.EXE
    ; C:\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IPFGC9N.EXE
    bl E07203D03D638C8F8BA7901E1BFAEE6C 544
    delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IPFGC9N.EXE
    delref D:\СКОРОСТЬ.CMD
    delref E:\CHECKID.EXE
    delref F:\AUTORUN.EXE
    zoo %SystemRoot%\DAODX.EXE
    chklst
    delvir

    deltmp
    regt 18
    regt 22
    regt 24
    regt 26
    czoo
    areg

     
    После выполнения скрипта компьютер перезагрузится.
     
    Dragokas нравится это.
  11. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Доступ к рабочему столу восстановлен.
    Ассоциации восстановлены.
    Доступ к объектам специальных папок из меню "Пуск" тоже восстановлен.

    Во время выполнения UVS - команды regt 22 и применения групповых политик возникла такая ошибка:
    UVS_ERROR.png
    Карантин отправил.
    Логи MBAM все еще нужны?
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Поищем хвосты.


    Не страшно, работа проводилась с "виртуальным" реестром, потом все перезаписалось.
     
    Dragokas нравится это.
  13. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Я по сообщениям так интуитивно и понял. Инструкции некогда читать :)
     

    Вложения:

  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    В MBAM удалить только
    Код (Text):
    Обнаруженные папки:  3
    C:\Users\User\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\OpenCandy\810016B0C08D42318EED18E9456106A9 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\OpenCandy\OpenCandy_810016B0C08D42318EED18E9456106A9 (PUP.Optional.OpenCandy) -> Действие не было предпринято.

    Обнаруженные файлы:  4
    C:\Users\User\Pictures\Съемный диск\RECYCLER\3ddb9016.exe (Backdoor.Bot) -> Действие не было предпринято.
    D:\System\$Recycle.Bin\S-1-5-21-891106636-2140884075-252602040-1000\$RFVXXGW.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\OpenCandy\810016B0C08D42318EED18E9456106A9\PasswordBoxCHSTORE_p1v0.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    После нужен лог SecurityCheck by glax24
     
    Dragokas нравится это.
  15. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Security Check by glax24 version 0.2.4.58 rc1
    WebSite: www.safezone.cc
    DateLog: 03.11.2013 23:43:47
    Run directory: C:\Users\User\AppData\Local\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\
    IsAdmin: False
    FileVersionInet: 6.1
    __________________________________________________

    Windows 7 (6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
    Дата установки ОС: 06.12.2012 11:45:29
    Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
    Системный диск: C:\ ФС: NTFS Емкость: [97.4 Гб] Занято: [45.5 Гб] Свободно: [51.9 Гб]
    Браузер по умолчанию: C:\Program Files (x86)\Internet Explorer\iexplore.exe
    -------------Windows------------------------------
    Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
    Контроль учётных записей пользователя включен
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2013-11-03 20:50:40
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    -------------Antivirus_WMI------------------------
    -------------Firewall_WMI-------------------------
    -------------AntiSpyware_WMI----------------------
    Windows Defender
    -------------OtherUtilities-----------------------
    Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 Plugin v.11.4.402.265 Внимание! Скачать обновления
    -------------Browser------------------------------
    Google Chrome v.28.0.1500.95 Внимание! Скачать обновления
    Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1 Внимание! Скачать обновления
    -------------EndLog-------------------------------
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    1. Необходимо обновить устаревший софт (по ссылкам в предыдущем посте)
    2. Выполнить рекомендации
    3. Все проблемы решены?
     
    Dragokas нравится это.
  17. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Проблемы решены.
     
Статус темы:
Закрыта.

Поделиться этой страницей