Решена Неверные ассоциации EXE файлов

Статус
В этой теме нельзя размещать новые ответы.

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,813
Реакции
6,592
Вместо исполнения файла появляется диалоговое окно Internet Explorer о загрузке этого файла из локального каталога (путь не подменяется).
При выборе кнопки "Запустить" появляется окно. Подтвердить скачивание из неизвестного источника?". При ответе "Запустить", начинается все по кругу.

123.png 12345.png

После перезагрузки ViruLogs также не смог стартовать 2-й этап сканирования, так как его запуск назначен в реестре через CMD.exe.
Буду улучшать процедуру.

Во время работы RSIT возникла вот такая ошибка:

123456.png

После отмены набора модема, RSIT успешно продолжил сканирование.

Во время работы SITLog в момент запуска HJT появилось окно загрузки, как я описывал раньше.
(т.е. HJT не смог запуститься).

Вероятно, все еще действует вирус.
 

Вложения

  • ViruLogs_forum.zip
    78.8 KB · Просмотры: 8
Последнее редактирование:
C:\Photo\Photo.exe - сам устанавливал?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Photo\Photo.exe','');
 QuarantineFile('C:\Users\User\Pictures\Съемный диск\Photo.exe','');
 QuarantineFile('F:\Photo.exe','');
 BC_ImportQuarantineList;
 BC_Activate;
 ExecuteRepair(1);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы
 
C:\Photo\Photo.exe - сам устанавливал?
Без понятия. Все лишнее можно смело удалять.
Судя по списку установленных программ ничего связанного с фото нет.
В папке C:\Photo только этот EXE.

Карантин отправил.
 
Подхватил заразу таки:
C:\Photo\Photo.exe - (Win32.HLLW.Autoruner1.20291, Worm.Win32.Delf.SQM, Worm:Win32/Tophos.C)AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\Photo\Photo.exe','32');
 DeleteFile('F:\Photo.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{4CEDED50-BD08-4BE7-8B4F-73DC15CB27D7}','64');
 DeleteFile('C:\Windows\system32\Tasks\{5B645F02-32B2-47BA-888A-7C272EF3E51F}','64');
 DeleteFile('C:\Windows\system32\Tasks\{8EB1C13A-FD20-4713-A53E-8EB856478AFE}','64');
 DeleteFile('C:\Users\User\Pictures\Съемный диск\Photo.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{C5E94905-7409-473B-B16A-22780F3A3626}','64');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы


++ нужны логи MBAM и HJTОбщий доступ сам предоставлял?



Код:
players D:\Call of Duty - Black Ops\players 
Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype 
Users C:\Users
 
Последнее редактирование:
Да, но сперва ведь нужно ассоциацию починить.
Уже пробовал ранее, не восстановило.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ExecuteRepair(1);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Проверяем ассоциации++ нужные свежие логи AVZ
 
Последнее редактирование:
Карантин отправил.

MBAM установщик после переименования в .PIF выдал ошибку:
PIF.png
в .COM также не захотел:
COM.png
HJT.pif нормально отработал.

AVZ. Восстановление системы # 1 с перезагрузкой не решило проблемы с ассоциациями.
EXE-шники все еще имеют иконку IE.

После повторного выполнения стандартного скрипта # 3 и перезагрузки рабочий стол стал неактивен:
иконки есть, но кликнуть по ним не могу. Правый клик мыши по свободной области тоже никакой реакции.
Работает только панель задач и комбинации клавиш.

В корне диска C заметил файл Photo.exe. Хеш MD5 - 284D082D736E17F72DF14DAD8E5374D7

Логи AVZ, HJT:
 

Вложения

  • virusinfo_syscheck.zip
    25.1 KB · Просмотры: 1
  • virusinfo_syscure.zip
    25.2 KB · Просмотры: 1
  • hijackthis.log
    7.7 KB · Просмотры: 1
AVZ уже ничего не видит. План Б
Подготовьте лог UVS
 
Ну все. А стандартный скрипт # 2 накрыл возможность запуска таких объектов как "Панель управления", "Мой компьютер"... через кнопку "Пуск".

UVS удалось запустить через Task Manager, Файл, обзор, + переименовав его в .pif.
 

Вложения

  • USERPC_2013-11-03_19-28-38.7z
    592.2 KB · Просмотры: 1
Создай точку восстановления системы.

Выполните скрипт UVS и пришлите карантин
Код:
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
sreg

; C:\PHOTO.EXE
addsgn A7679B19919AF40E0399AE5944F1E1FA84CE69BB89711F902DBE3B43F192E401239CC3917E0E9DE86F15C99FCD16F3DA1392E89A91AD4ED3A67A00B98A068337 8 photo.exe

zoo %SystemDrive%\PHOTO.EXE
bl 284D082D736E17F72DF14DAD8E5374D7 1157641
; zoo %SystemDrive%\PHOTO.EXE
zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IAEAIUB.EXE
; C:\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IAEAIUB.EXE
bl 391306140EC3D733EC31A9BE071AC6D1 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IAEAIUB.EXE
zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IFVXXGW.EXE
; C:\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IFVXXGW.EXE
bl 5779CECD7FFD06480C14098D993126F4 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IFVXXGW.EXE
zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IPFGC9N.EXE
; C:\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IPFGC9N.EXE
bl E07203D03D638C8F8BA7901E1BFAEE6C 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-891106636-2140884075-252602040-1000\$IPFGC9N.EXE
delref D:\СКОРОСТЬ.CMD
delref E:\CHECKID.EXE
delref F:\AUTORUN.EXE
zoo %SystemRoot%\DAODX.EXE
chklst
delvir

deltmp
regt 18
regt 22
regt 24
regt 26
czoo
areg
После выполнения скрипта компьютер перезагрузится.
 
Доступ к рабочему столу восстановлен.
Ассоциации восстановлены.
Доступ к объектам специальных папок из меню "Пуск" тоже восстановлен.

Во время выполнения UVS - команды regt 22 и применения групповых политик возникла такая ошибка:
UVS_ERROR.png
Карантин отправил.
Логи MBAM все еще нужны?
 
Логи MBAM все еще нужны?
Поищем хвосты.


Во время выполнения UVS - команды regt 22 и применения групповых политик возникла такая ошибка:
Не страшно, работа проводилась с "виртуальным" реестром, потом все перезаписалось.
 
Не страшно, работа проводилась с "виртуальным" реестром, потом все перезаписалось.
Я по сообщениям так интуитивно и понял. Инструкции некогда читать :)
 

Вложения

  • MBAM-log-2013-11-03 (22-56-39).txt
    3.8 KB · Просмотры: 1
В MBAM удалить только
Код:
Обнаруженные папки:  3
C:\Users\User\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\OpenCandy\810016B0C08D42318EED18E9456106A9 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\OpenCandy\OpenCandy_810016B0C08D42318EED18E9456106A9 (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Обнаруженные файлы:  4
C:\Users\User\Pictures\Съемный диск\RECYCLER\3ddb9016.exe (Backdoor.Bot) -> Действие не было предпринято.
D:\System\$Recycle.Bin\S-1-5-21-891106636-2140884075-252602040-1000\$RFVXXGW.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\OpenCandy\810016B0C08D42318EED18E9456106A9\PasswordBoxCHSTORE_p1v0.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

После нужен лог SecurityCheck by glax24
 
Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 03.11.2013 23:43:47
Run directory: C:\Users\User\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 6.1
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 06.12.2012 11:45:29
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [97.4 Гб] Занято: [45.5 Гб] Свободно: [51.9 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Internet Explorer\iexplore.exe
-------------Windows------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-11-03 20:50:40
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.4.402.265 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.28.0.1500.95 Внимание! Скачать обновления
Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1 Внимание! Скачать обновления
-------------EndLog-------------------------------
 
1. Необходимо обновить устаревший софт (по ссылкам в предыдущем посте)
2. Выполнить рекомендации
3. Все проблемы решены?
 
Проблемы решены.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу