Решена Проблемы с Explorer.exe после заражения после флешки

Статус
В этой теме нельзя размещать новые ответы.

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,861
Реакции
6,617
Здравствуйте!

Заражение через флешку. Семпл не сохранился.
Касперский стал выдавать инфу о подозрительном поведении Explorer.exe
Пропал рабочий стол. После перезагрузки все тоже самое.
Логи собрал через Диспетчер задач.
Автологгер после перезагрузки не запустился.
2-й скрипт запустил вручную.

Из заметных проблем - не работает контекстное меню для файлов типа ZIP.
 

Вложения

  • CollectionLog-2015.02.18-13.05.zip
    90.1 KB · Просмотры: 3
Автологгер после перезагрузки не запустился.
2-й скрипт запустил вручную.
а по идее должен был ;)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"AVZ"=cmd /c start C:\1\AutoLogger\AVZ\avz.exe Script=C:\1\AutoLogger\AVZ\Script2.txt HiddenMode=0 []
Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.

--------------
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

Радмин как понимаю сами ставили?
 
а по идее должен был ;)
RunOnce не стерт, а значит не обрабатывался.

http://www.getsysteminfo.com/read.php?file=eb489c8d8cfd66d3d295480d599ac998

Дождитесь окончания работы программы
После завершения скана появилась ошибка:
uvs_error.JPG
Лог на рабочем столе не был создан.
Множество системных файлов не содержат ЭЦП.

Радмин как понимаю сами ставили?
Да.

Источник заражения: флешка с компьютера из этой темы: https://safezone.cc/threads/jarlyki-na-fleshke.25025/
 
Последнее редактирование:
лог uVS будет?
Лог необходимо сохранить на рабочем столе.
куда хочешь можешь его сохранить, никакого значения это не имеет. Не может сохранить на рабочий стол пробуй в другой место :).
При сборе логов Автологер от имени кого запускался?
После перезагрузки под какой учётной записью логинился?
 
Всегда под учеткой "User". Вирус был подхвачен также будучи в этой учетке.
Учетка "Администратор" содержит мне неизвестный пароль.
Не может сохранить на рабочий стол пробуй в другой место :).
Я без самодеятельности. Как в инструкции написано, так и сделал.
Тем более, что повторное сохранение - это повторный скан.
В другую папку сохранить удалось.
 

Вложения

  • K_117_4_2015-02-18_16-46-35.7z
    330.1 KB · Просмотры: 2
Пропал рабочий стол. После перезагрузки все тоже самое.
похоже кто-то его удалил
C:\WINDOWS\EXPLORER.EXE [Не удается найти указанный файл. ]
проверь на всякий случай самостоятельно присутствует ли он там.
+
Код:
C:\WINDOWS\SYSTEM32\CMD.EXE
C:\WINDOWS\SYSTEM32\RUNONCE.EXE
C:\WINDOWS\SYSTEM32\MMC.EXE
C:\WINDOWS\SYSTEM32\CALC.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
проверь на вирустотал, ссылки запости тут.
 
Код:
C:\WINDOWS\EXPLORER.EXE
Сможешь заменить с аналогичной системы? Или нужен файл и написать скрипт uVS для восстановления?

+ Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 
Значит 6-й Каспер еще кое-что умеет. Дальше Explorer-a не пустил.
И все же грохнул Каспера, т.к. после нажатия "Сканировать" в MBAM, окно намертво зависало. А пароль на отключение я не знал.

Или нужен файл и написать скрипт uVS для восстановления?
Прокси не пропустит, если файл будет качаться с расширением EXE.
В противном случае попросил бы скрипт, но знаю что у тебя со временем напряг ради всяких экспериментов.
Заберу с аналогичной системы.
 

Вложения

  • MBAM-log-2015-02-20 (16-03-56).txt
    3.8 KB · Просмотры: 1
MBAM деинсталируй.

sfc /scannow советую всё-таки сделать.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

А каспера советую всё-таки поставить просто заменить WKS на KES. По версиям наизусть не подскажу, лицензия там вроде должна подходить.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу