1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Подозрение на вирус!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Grig, 10 фев 2012.

Статус темы:
Закрыта.
  1. Grig
    Оффлайн

    GrigАктивный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Баллы:
    171
    Здравствуйте!
    Есть подозрение на вирус. Проблема, а именно системная папка Fonts не открывается. Во всплывающем окне "EXPLORER.EXE - Ошибка приложения. неизвестное программное исключение (0x0eedfade) в приложении по адресу 0x7c812afb" :( Все необходимое для анализа прикладываю. С уважением и в ожидании оценки и решений.:)
     

    Вложения:

  2. Инфо.Бот

    БотанЗлостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. S.R
    Оффлайн

    S.RАссоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Баллы:
    293
    Сейчас посмотрим..

    Добавлено через 10 минут 27 секунд
    Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)
    Код (Text):

    var
     DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
     DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
     ImagePathStr, RootStr, SubRootStr, LangID: string;
     AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
     FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
     RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

    procedure CheckAndRestoreSection(Root: String);
    begin
     Inc(AllRoots);
     if RegKeyExistsEx('HKLM', Root)
      then RegKeyResetSecurity('HKLM', Root)
      else
       begin
        Inc(RootsRestored);
        RegKeyCreate('HKLM', Root);
        AddToLog(RegSectMsg + Root + RestMsg);
       end;
    end;

    procedure CheckAndRestoreSubSection;
    begin
     CheckAndRestoreSection(SubRootStr);
    end;

    procedure RestoredMsg(Root, Param: String);
    begin
     AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
     Inc(KeysRestored);
    end;

    procedure FixedMsg(Root, Param: String);
    begin
     AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
     Inc(KeysFixed);
    end;

    procedure RestoreStrParam(Root, Param, Value: String);
    begin
     RegKeyStrParamWrite('HKLM', Root, Param, Value);
     RestoredMsg(Root, Param);
    end;

    procedure CheckAndRestoreStrParam(Root, Param, Value: String);
    begin
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', Root, Param)
      then RestoreStrParam(Root, Param, Value);
    end;

    procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
    begin
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', Root, Param) then
      begin
       RegKeyIntParamWrite('HKLM', Root, Param, Value);
       RestoredMsg(Root, Param);
      end;
    end;

    procedure CheckAndRestoreMultiSZParam(Param, Value: String);
    begin
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', RootStr, Param)
      then
       begin
        ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
        RestoredMsg(RootStr, Param);
       end;
    end;
    // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
    procedure ImagePathFix(Node, Srv: String);
    var RegStr: String;
    begin
     RegStr:= 'SYSTEM\' + Node + '\Services\' + Srv;
     if RegKeyExistsEx('HKLM', RegStr) then
      begin
       Inc(AllKeys);
       RegKeyResetSecurity('HKLM', RegStr);
       RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
       FixedMsg(RegStr, 'ImagePath');
      end;
    end;
    //Выполнение исправление всех ключей в ветках -
    //'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'
    procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
    var FileServiceDll, CCSNumber: string;
         i : integer;
    begin
     if Srv = 'BITS'
      then FileServiceDll := FullPathSystem32 + 'qmgr.dll'
      else FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
     RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

     CheckAndRestoreSection(RootStr);

     CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
     CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
     CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', RootStr, 'ImagePath')
      then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
      else
       begin
        Dec(AllKeys);
        if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr)
         then
          for i:= 0 to 999 do
           begin
            if i > 0
             then CCSNumber:= FormatFloat('ControlSet000', i)
             else CCSNumber:= 'CurrentControlSet';
             ImagePathFix(CCSNumber, Srv);
            end;
       end;

     CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
     CheckAndRestoreIntParam(RootStr, 'Start', 2);
     CheckAndRestoreIntParam(RootStr, 'Type', 32);

     if Srv = 'BITS'
      then
       begin
        CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
        CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
       end;

     SubRootStr:= RootStr + '\Enum';
     CheckAndRestoreSubSection;

     CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
     CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
     CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

     SubRootStr := RootStr + '\Security';
     CheckAndRestoreSubSection;

     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
      begin
       RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
       RestoredMsg(SubRootStr, 'Security');
      end;

     SubRootStr:= RootStr + '\Parameters';
     CheckAndRestoreSubSection;

     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll')
      then
      begin
       RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
       RestoredMsg(SubRootStr, 'ServiceDll');
      end
       else
        if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll)
         then
          begin
           RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
           FixedMsg(SubRootStr, 'ServiceDll');
          end
    end;
    //Главное выполнение
    begin
     ClearLog;
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
     LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
     if LangID = '0419'
      then
       begin
        DescriptionTextWuauServ:= 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
        DispayNameTextWuauServ:= 'Автоматическое обновление';
        DescriptionTextBITS:= 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
        DispayNameTextBITS:= 'Фоновая интеллектуальная служба передачи (BITS)';
        AddToLog('Операционная система - русская');
        FinishMsg:= '–––– Восстановление завершено ––––';
        RestoreMsg:= 'Восстановлено разделов\параметров: ';
        FixMsg:= 'Исправлено параметров: ';
        CheckMsg:= 'Проверено разделов\параметров: ';
        RegSectMsg:= 'Раздел реестра HKLM\';
        ParamMsg:= 'Параметр ';
        ParamValueMsg:= 'Значение параметра ';
        InRegSectMsg:= ' в разделе реестра HKLM\';
        CorrectMsg:= ' исправлено на оригинальное.';
        RestMsg:= ' восстановлен.';
       end
      else
       if LangID = '0409'
        then
         begin
          DescriptionTextWuauServ:= 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
          DispayNameTextWuauServ := 'Automatic Updates';
          DescriptionTextBITS:= 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
          DispayNameTextBITS:= 'Background Intelligent Transfer Service';
          AddToLog('Operation system - english');
          FinishMsg:= '–––– Restoration finished ––––';
          RestoreMsg:= 'Sections\parameters restored: ';
          FixMsg:= 'Parameters corrected: ';
          CheckMsg:= 'Sections\parameters checked: ';
          RegSectMsg:= 'Registry section HKLM\';
          ParamMsg:= 'Parameter ';
          ParamValueMsg:= 'Value of parameter ';
          InRegSectMsg:= ' in registry section HKLM\';
          CorrectMsg:= ' corrected on original.';
          RestMsg:= ' restored.';
         end;
     AddToLog('');
    //Определение папки X:\Windows\System32\
     NameFolderSystem32:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
     ImagePathStr:= NameFolderSystem32 + '\svchost.exe -k netsvcs';
     Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
     FullPathSystem32:= GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

     AllRoots:= 0;
     AllKeys:= 0;
     RootsRestored:= 0;
     KeysRestored:= 0;
     KeysFixed:= 0;

     CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
     CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

     AddToLog('');
     AddToLog(FinishMsg);
     AddToLog('');
     AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
     AddToLog(FixMsg + IntToStr(KeysFixed));
     AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
     SaveLog(GetAVZDirectory + '\Correct_wuauserv&BITS.log');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
    ExecuteRepair(1);
    RebootWindows(true);
    end.

     

    ПК перезагрузится. Файл Correct_wuauserv&BITS.log из папки с AVZ прикрепите к сообщению.

    Сделайте новые логи AVZ & RSIT


    • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
    • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
    • После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению
     
  4. Grig
    Оффлайн

    GrigАктивный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Баллы:
    171
    Сделано

    Все делал и прикрепил.
     

    Вложения:

  5. Grig
    Оффлайн

    GrigАктивный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Баллы:
    171
    Забыл еще упомянуть. Был вирус Trojan.Mayachok.1 Dr.Web его удалил. И все.
     
  6. icotonev
    Оффлайн

    icotonevАссоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
    Баллы:
    463
    Где лог RSIT...?
     
  7. Grig
    Оффлайн

    GrigАктивный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Баллы:
    171
    Log RSIT

    Лог RSIT добавлен. А новые AVZ в предыдущем. Так получилось непоследовательно :)
     

    Вложения:

    • log.txt
      Размер файла:
      51,7 КБ
      Просмотров:
      5
  8. icotonev
    Оффлайн

    icotonevАссоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
    Баллы:
    463
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
     
  9. Grig
    Оффлайн

    GrigАктивный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Баллы:
    171
    Сделано. Прикрепил.
     

    Вложения:

  10. S.R
    Оффлайн

    S.RАссоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Баллы:
    293
    Повторите полное сканирование и удалите в MBAM только данные элементы
    Код (Text):

    Обнаруженные параметры в реестре:  1
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent)
     
     
  11. Grig
    Оффлайн

    GrigАктивный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Баллы:
    171
    Сделано

    Удалено. Прикреплены новые логи RSIT AVZ MBAM. Но, особых перемен не наблюдается (см. первый пост). Explorer.exe брякнулся как-то избирательно, т.е. кроме данного (не открывает папку Fonts - см. screen) в остальном косяков вроде нет. Прим. Файловый менеджер NexusFile (есть такое) без проблем открывает эту папку.
     

    Вложения:

  12. Grig
    Оффлайн

    GrigАктивный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Баллы:
    171
    Однако можно быть спокойным за то, что всегда есть в запасе метод радикальной хирургии (форматирование и переустановка).
     
  13. S.R
    Оффлайн

    S.RАссоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Баллы:
    293
    Ничего плохого у Вас не вижу.

    Ознакомьтесь с этими рекомендациями. Установите обновления ОС и системных компонентов. Подчистите временные файлы (например программой CCleaner).
     
  14. Grig
    Оффлайн

    GrigАктивный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Баллы:
    171
    Ура! Ура! Ура! Благодарствую! И 100 гр. коньячку за Ваше здоровье и за всех кто потрудился.:D

    P.S. СС в обойме. Доступ к Fonts особо не нужен был (однако я запаниковал сегодня, когда случайно попытался ее открыть). Подумал, что убрав троян, но не убрал "хвосты", либо еще что-то есть. Останется Explorer.exe "немного инвалидом".

    Тему стоит закрывать!
     
  15. Severnyj
    Оффлайн

    SevernyjКоманда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.458
    Симпатии:
    9.165
    Баллы:
    593
    Возможно проблема в патченном украшалками проводнике, или сборке Windows.

    Теме ставлю пометку Решена!!!!
     
Статус темы:
Закрыта.

Поделиться этой страницей