Решена Проблемы с Explorer.exe после заражения после флешки

[Dragokas]

Здравствуйте!

Заражение через флешку. Семпл не сохранился.
Касперский стал выдавать инфу о подозрительном поведении Explorer.exe
Пропал рабочий стол. После перезагрузки все тоже самое.
Логи собрал через Диспетчер задач.
Автологгер после перезагрузки не запустился.
2-й скрипт запустил вручную.

Из заметных проблем - не работает контекстное меню для файлов типа ZIP.

 

[regist]

Автологгер после перезагрузки не запустился.
2-й скрипт запустил вручную.

а по идее должен был

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"AVZ"=cmd /c start C:\1\AutoLogger\AVZ\avz.exe Script=C:\1\AutoLogger\AVZ\Script2.txt HiddenMode=0 []

Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.

--------------

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
5. Подробнее читайте в руководстве Как подготовить лог UVS.

Радмин как понимаю сами ставили?

 

[Dragokas]

а по идее должен был

RunOnce не стерт, а значит не обрабатывался.

http://www.getsysteminfo.com/read.php?file=eb489c8d8cfd66d3d295480d599ac998

Дождитесь окончания работы программы

После завершения скана появилась ошибка:

Лог на рабочем столе не был создан.
Множество системных файлов не содержат ЭЦП.

Радмин как понимаю сами ставили?

Да.

Источник заражения: флешка с компьютера из этой темы: http://safezone.cc/threads/jarlyki-na-fleshke.25025/

 

[regist]

лог uVS будет?

Лог необходимо сохранить на рабочем столе.

куда хочешь можешь его сохранить, никакого значения это не имеет. Не может сохранить на рабочий стол пробуй в другой место .
При сборе логов Автологер от имени кого запускался?
После перезагрузки под какой учётной записью логинился?

 

[Dragokas]

Всегда под учеткой "User". Вирус был подхвачен также будучи в этой учетке.
Учетка "Администратор" содержит мне неизвестный пароль.

Не может сохранить на рабочий стол пробуй в другой место .

Я без самодеятельности. Как в инструкции написано, так и сделал.
Тем более, что повторное сохранение - это повторный скан.
В другую папку сохранить удалось.

 

[regist]

Пропал рабочий стол. После перезагрузки все тоже самое.

похоже кто-то его удалил

C:\WINDOWS\EXPLORER.EXE [Не удается найти указанный файл. ]

проверь на всякий случай самостоятельно присутствует ли он там.
+

C:\WINDOWS\SYSTEM32\CMD.EXE
C:\WINDOWS\SYSTEM32\RUNONCE.EXE
C:\WINDOWS\SYSTEM32\MMC.EXE
C:\WINDOWS\SYSTEM32\CALC.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE

проверь на вирустотал, ссылки запости тут.

 

[Dragokas]

Оказывается, в XP эти файлы и не должны иметь подписи.

похоже кто-то его удалил

Так и есть. Этот кто-то - Касперский -)

https://www.virustotal.com/ru/file/...7f3fec8bcf3d846601ee8454/analysis/1424341385/
https://www.virustotal.com/ru/file/...6d5e86e70608b15612721ddc/analysis/1424341427/
https://www.virustotal.com/ru/file/...604e1c626ab749ff3f9f4600/analysis/1424341424/
https://www.virustotal.com/ru/file/...1653fd3ee22eb662f1d05ca3/analysis/1424341416/
https://www.virustotal.com/ru/file/...968c8f86107326d16446771f/analysis/1424340096/

 

[regist]

C:\WINDOWS\EXPLORER.EXE

Сможешь заменить с аналогичной системы? Или нужен файл и написать скрипт uVS для восстановления?

+ Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

 

[Dragokas]

Значит 6-й Каспер еще кое-что умеет. Дальше Explorer-a не пустил.
И все же грохнул Каспера, т.к. после нажатия "Сканировать" в MBAM, окно намертво зависало. А пароль на отключение я не знал.

Или нужен файл и написать скрипт uVS для восстановления?

Прокси не пропустит, если файл будет качаться с расширением EXE.
В противном случае попросил бы скрипт, но знаю что у тебя со временем напряг ради всяких экспериментов.
Заберу с аналогичной системы.

 

[regist]

MBAM деинсталируй.

sfc /scannow советую всё-таки сделать.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

А каспера советую всё-таки поставить просто заменить WKS на KES. По версиям наизусть не подскажу, лицензия там вроде должна подходить.