Решена Вирус в Explorer.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Dragokas, 18 фев 2015.

Статус темы:
Закрыта.
  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    Здравствуйте!

    Заражение через флешку. Семпл не сохранился.
    Касперский стал выдавать инфу о подозрительном поведении Explorer.exe
    Пропал рабочий стол. После перезагрузки все тоже самое.
    Логи собрал через Диспетчер задач.
    Автологгер после перезагрузки не запустился.
    2-й скрипт запустил вручную.

    Из заметных проблем - не работает контекстное меню для файлов типа ZIP.
     

    Вложения:

  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    а по идее должен был ;)
    Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
    Подробнее читайте в руководстве.

    --------------
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.

    Радмин как понимаю сами ставили?
     
  3. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    RunOnce не стерт, а значит не обрабатывался.

    http://www.getsysteminfo.com/read.php?file=eb489c8d8cfd66d3d295480d599ac998

    После завершения скана появилась ошибка:
    uvs_error.JPG
    Лог на рабочем столе не был создан.
    Множество системных файлов не содержат ЭЦП.

    Да.

    Источник заражения: флешка с компьютера из этой темы: http://safezone.cc/threads/jarlyki-na-fleshke.25025/
     
    Последнее редактирование: 18 фев 2015
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    лог uVS будет?
    --- Объединённое сообщение, 18 фев 2015 ---
    куда хочешь можешь его сохранить, никакого значения это не имеет. Не может сохранить на рабочий стол пробуй в другой место :).
    --- Объединённое сообщение, 18 фев 2015, Дата первоначального сообщения: 18 фев 2015 ---
    При сборе логов Автологер от имени кого запускался?
    После перезагрузки под какой учётной записью логинился?
     
  5. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    Всегда под учеткой "User". Вирус был подхвачен также будучи в этой учетке.
    Учетка "Администратор" содержит мне неизвестный пароль.
    Я без самодеятельности. Как в инструкции написано, так и сделал.
    Тем более, что повторное сохранение - это повторный скан.
    В другую папку сохранить удалось.
     

    Вложения:

  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    похоже кто-то его удалил
    проверь на всякий случай самостоятельно присутствует ли он там.
    +
    Код (Text):
    C:\WINDOWS\SYSTEM32\CMD.EXE
    C:\WINDOWS\SYSTEM32\RUNONCE.EXE
    C:\WINDOWS\SYSTEM32\MMC.EXE
    C:\WINDOWS\SYSTEM32\CALC.EXE
    C:\WINDOWS\SYSTEM32\CTFMON.EXE
    проверь на вирустотал, ссылки запости тут.
     
  7. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Код (Text):
    C:\WINDOWS\EXPLORER.EXE
    Сможешь заменить с аналогичной системы? Или нужен файл и написать скрипт uVS для восстановления?

    + Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
  9. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    Значит 6-й Каспер еще кое-что умеет. Дальше Explorer-a не пустил.
    И все же грохнул Каспера, т.к. после нажатия "Сканировать" в MBAM, окно намертво зависало. А пароль на отключение я не знал.

    Прокси не пропустит, если файл будет качаться с расширением EXE.
    В противном случае попросил бы скрипт, но знаю что у тебя со временем напряг ради всяких экспериментов.
    Заберу с аналогичной системы.
     

    Вложения:

  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    MBAM деинсталируй.

    sfc /scannow советую всё-таки сделать.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.

    А каспера советую всё-таки поставить просто заменить WKS на KES. По версиям наизусть не подскажу, лицензия там вроде должна подходить.
     
Статус темы:
Закрыта.

Поделиться этой страницей