Решена Вирус в Explorer.exe

Статус
В этой теме нельзя размещать новые ответы.

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,621
Реакции
6,060
Здравствуйте!

Заражение через флешку. Семпл не сохранился.
Касперский стал выдавать инфу о подозрительном поведении Explorer.exe
Пропал рабочий стол. После перезагрузки все тоже самое.
Логи собрал через Диспетчер задач.
Автологгер после перезагрузки не запустился.
2-й скрипт запустил вручную.

Из заметных проблем - не работает контекстное меню для файлов типа ZIP.
 

Вложения

  • CollectionLog-2015.02.18-13.05.zip
    90.1 KB · Просмотры: 3

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,377
Автологгер после перезагрузки не запустился.
2-й скрипт запустил вручную.
а по идее должен был ;)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"AVZ"=cmd /c start C:\1\AutoLogger\AVZ\avz.exe Script=C:\1\AutoLogger\AVZ\Script2.txt HiddenMode=0 []
Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.

--------------
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

Радмин как понимаю сами ставили?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,621
Реакции
6,060
а по идее должен был ;)
RunOnce не стерт, а значит не обрабатывался.

http://www.getsysteminfo.com/read.php?file=eb489c8d8cfd66d3d295480d599ac998

Дождитесь окончания работы программы
После завершения скана появилась ошибка:
uvs_error.JPG
Лог на рабочем столе не был создан.
Множество системных файлов не содержат ЭЦП.

Радмин как понимаю сами ставили?
Да.

Источник заражения: флешка с компьютера из этой темы: http://safezone.cc/threads/jarlyki-na-fleshke.25025/
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,377
лог uVS будет?
Лог необходимо сохранить на рабочем столе.
куда хочешь можешь его сохранить, никакого значения это не имеет. Не может сохранить на рабочий стол пробуй в другой место :).
При сборе логов Автологер от имени кого запускался?
После перезагрузки под какой учётной записью логинился?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,621
Реакции
6,060
Всегда под учеткой "User". Вирус был подхвачен также будучи в этой учетке.
Учетка "Администратор" содержит мне неизвестный пароль.
Не может сохранить на рабочий стол пробуй в другой место :).
Я без самодеятельности. Как в инструкции написано, так и сделал.
Тем более, что повторное сохранение - это повторный скан.
В другую папку сохранить удалось.
 

Вложения

  • K_117_4_2015-02-18_16-46-35.7z
    330.1 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,377
Пропал рабочий стол. После перезагрузки все тоже самое.
похоже кто-то его удалил
C:\WINDOWS\EXPLORER.EXE [Не удается найти указанный файл. ]
проверь на всякий случай самостоятельно присутствует ли он там.
+
Код:
C:\WINDOWS\SYSTEM32\CMD.EXE
C:\WINDOWS\SYSTEM32\RUNONCE.EXE
C:\WINDOWS\SYSTEM32\MMC.EXE
C:\WINDOWS\SYSTEM32\CALC.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
проверь на вирустотал, ссылки запости тут.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,621
Реакции
6,060

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,377
Код:
C:\WINDOWS\EXPLORER.EXE
Сможешь заменить с аналогичной системы? Или нужен файл и написать скрипт uVS для восстановления?

+ Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,621
Реакции
6,060
Значит 6-й Каспер еще кое-что умеет. Дальше Explorer-a не пустил.
И все же грохнул Каспера, т.к. после нажатия "Сканировать" в MBAM, окно намертво зависало. А пароль на отключение я не знал.

Или нужен файл и написать скрипт uVS для восстановления?
Прокси не пропустит, если файл будет качаться с расширением EXE.
В противном случае попросил бы скрипт, но знаю что у тебя со временем напряг ради всяких экспериментов.
Заберу с аналогичной системы.
 

Вложения

  • MBAM-log-2015-02-20 (16-03-56).txt
    3.8 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,377
MBAM деинсталируй.

sfc /scannow советую всё-таки сделать.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

А каспера советую всё-таки поставить просто заменить WKS на KES. По версиям наизусть не подскажу, лицензия там вроде должна подходить.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу