Решена Подозрение на вирус!

Статус
В этой теме нельзя размещать новые ответы.

Grig

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте!
Есть подозрение на вирус. Проблема, а именно системная папка Fonts не открывается. Во всплывающем окне "EXPLORER.EXE - Ошибка приложения. неизвестное программное исключение (0x0eedfade) в приложении по адресу 0x7c812afb" :( Все необходимое для анализа прикладываю. С уважением и в ожидании оценки и решений.:)
 

Вложения

  • hijackthis.log
    6.8 KB · Просмотры: 9
  • virusinfo_syscure.zip
    42.4 KB · Просмотры: 8
  • virusinfo_syscheck.zip
    35.6 KB · Просмотры: 2
Сейчас посмотрим..

Добавлено через 10 минут 27 секунд
Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)
Код:
var
 DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
 DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
 ImagePathStr, RootStr, SubRootStr, LangID: string;
 AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
 FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
 RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
 Inc(AllRoots);
 if RegKeyExistsEx('HKLM', Root)
  then RegKeyResetSecurity('HKLM', Root)
  else
   begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
 CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
 AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
 Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
 AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
 Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
 RegKeyStrParamWrite('HKLM', Root, Param, Value);
 RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param)
  then RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param) then
  begin
   RegKeyIntParamWrite('HKLM', Root, Param, Value);
   RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, Param)
  then
   begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
   end;
end;
// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
 RegStr:= 'SYSTEM\' + Node + '\Services\' + Srv;
 if RegKeyExistsEx('HKLM', RegStr) then
  begin
   Inc(AllKeys);
   RegKeyResetSecurity('HKLM', RegStr);
   RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
   FixedMsg(RegStr, 'ImagePath');
  end;
end;
//Выполнение исправление всех ключей в ветках -
//'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
 if Srv = 'BITS'
  then FileServiceDll := FullPathSystem32 + 'qmgr.dll'
  else FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
 RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

 CheckAndRestoreSection(RootStr);

 CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
 CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
 CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, 'ImagePath')
  then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
  else
   begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr)
     then
      for i:= 0 to 999 do
       begin
        if i > 0
         then CCSNumber:= FormatFloat('ControlSet000', i)
         else CCSNumber:= 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
        end;
   end;

 CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
 CheckAndRestoreIntParam(RootStr, 'Start', 2);
 CheckAndRestoreIntParam(RootStr, 'Type', 32);

 if Srv = 'BITS'
  then
   begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
   end;

 SubRootStr:= RootStr + '\Enum';
 CheckAndRestoreSubSection;

 CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
 CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
 CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

 SubRootStr := RootStr + '\Security';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
   RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
   RestoredMsg(SubRootStr, 'Security');
  end;

 SubRootStr:= RootStr + '\Parameters';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll')
  then
  begin
   RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
   RestoredMsg(SubRootStr, 'ServiceDll');
  end
   else
    if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll)
     then
      begin
       RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
       FixedMsg(SubRootStr, 'ServiceDll');
      end
end;
//Главное выполнение 
begin
 ClearLog;
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
 LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
 if LangID = '0419'
  then
   begin
    DescriptionTextWuauServ:= 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ:= 'Автоматическое обновление';
    DescriptionTextBITS:= 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS:= 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg:= '–––– Восстановление завершено ––––';
    RestoreMsg:= 'Восстановлено разделов\параметров: ';
    FixMsg:= 'Исправлено параметров: ';
    CheckMsg:= 'Проверено разделов\параметров: ';
    RegSectMsg:= 'Раздел реестра HKLM\';
    ParamMsg:= 'Параметр ';
    ParamValueMsg:= 'Значение параметра ';
    InRegSectMsg:= ' в разделе реестра HKLM\';
    CorrectMsg:= ' исправлено на оригинальное.';
    RestMsg:= ' восстановлен.';
   end
  else
   if LangID = '0409'
    then
     begin
      DescriptionTextWuauServ:= 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
      DispayNameTextWuauServ := 'Automatic Updates';
      DescriptionTextBITS:= 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
      DispayNameTextBITS:= 'Background Intelligent Transfer Service';
      AddToLog('Operation system - english');
      FinishMsg:= '–––– Restoration finished ––––';
      RestoreMsg:= 'Sections\parameters restored: ';
      FixMsg:= 'Parameters corrected: ';
      CheckMsg:= 'Sections\parameters checked: ';
      RegSectMsg:= 'Registry section HKLM\';
      ParamMsg:= 'Parameter ';
      ParamValueMsg:= 'Value of parameter ';
      InRegSectMsg:= ' in registry section HKLM\';
      CorrectMsg:= ' corrected on original.';
      RestMsg:= ' restored.';
     end;
 AddToLog('');
//Определение папки X:\Windows\System32\ 
 NameFolderSystem32:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
 ImagePathStr:= NameFolderSystem32 + '\svchost.exe -k netsvcs';
 Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
 FullPathSystem32:= GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

 AllRoots:= 0;
 AllKeys:= 0;
 RootsRestored:= 0;
 KeysRestored:= 0;
 KeysFixed:= 0;

 CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
 CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

 AddToLog('');
 AddToLog(FinishMsg);
 AddToLog('');
 AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
 AddToLog(FixMsg + IntToStr(KeysFixed));
 AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
 SaveLog(GetAVZDirectory + '\Correct_wuauserv&BITS.log');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','Explorer.exe');
ExecuteRepair(1);
RebootWindows(true);
end.


ПК перезагрузится. Файл Correct_wuauserv&BITS.log из папки с AVZ прикрепите к сообщению.

Сделайте новые логи AVZ & RSIT


  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
  • После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению
 
Сделано

Все делал и прикрепил.
 

Вложения

  • Correct_wuauserv&BITS.log
    3.5 KB · Просмотры: 8
  • hijackthis.log
    6.5 KB · Просмотры: 0
  • virusinfo_syscure.zip
    41 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    35.5 KB · Просмотры: 1
Забыл еще упомянуть. Был вирус Trojan.Mayachok.1 Dr.Web его удалил. И все.
 
Log RSIT

Лог RSIT добавлен. А новые AVZ в предыдущем. Так получилось непоследовательно :)
 

Вложения

  • log.txt
    51.7 KB · Просмотры: 5
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 
Сделано. Прикрепил.
 

Вложения

  • mbam-log-2012-02-10 (22-21-06).txt
    4.4 KB · Просмотры: 3
Повторите полное сканирование и удалите в MBAM только данные элементы
Код:
Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent)
 
Сделано

Удалено. Прикреплены новые логи RSIT AVZ MBAM. Но, особых перемен не наблюдается (см. первый пост). Explorer.exe брякнулся как-то избирательно, т.е. кроме данного (не открывает папку Fonts - см. screen) в остальном косяков вроде нет. Прим. Файловый менеджер NexusFile (есть такое) без проблем открывает эту папку.
 

Вложения

  • Snap_2012.02.11_02h41m25s_005_WINDOWS.jpg
    Snap_2012.02.11_02h41m25s_005_WINDOWS.jpg
    64.5 KB · Просмотры: 70
  • log.txt
    23.4 KB · Просмотры: 2
  • mbam-log-2012-02-11 (01-42-01).txt
    4.1 KB · Просмотры: 2
  • virusinfo_syscure.zip
    41.4 KB · Просмотры: 6
  • virusinfo_syscheck.zip
    35.5 KB · Просмотры: 1
Однако можно быть спокойным за то, что всегда есть в запасе метод радикальной хирургии (форматирование и переустановка).
 
Ничего плохого у Вас не вижу.

Ознакомьтесь с этими рекомендациями. Установите обновления ОС и системных компонентов. Подчистите временные файлы (например программой CCleaner).
 
Ура! Ура! Ура! Благодарствую! И 100 гр. коньячку за Ваше здоровье и за всех кто потрудился.:D

P.S. СС в обойме. Доступ к Fonts особо не нужен был (однако я запаниковал сегодня, когда случайно попытался ее открыть). Подумал, что убрав троян, но не убрал "хвосты", либо еще что-то есть. Останется Explorer.exe "немного инвалидом".

Тему стоит закрывать!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу