-
Junior Member
- Вес репутации
- 44
Заражён Explorer.exe. Замена на новый не спасает.
Добрый день!!
Начну по порядку.
Несколько дней на компе не работал Касперский. Потом снова был запущен.
При запуске Оперы (даже без вкладок) она стала выдавать ошибку, предлагать отправить отчёт, и закрываться. Грешил на Оперу, так как ИЕ работал (хотя и как-то с тормозами и подвисаниями). Снёс Оперу, почистил реестр и все что только можно. При установке новой Оперы - та же ошибка и зависание. В самом начале процесса установки.
Понял, что дело неладно. После перезагрузки компа (сеть ещё не подключилась к интернету) установка нормально запустилась, Опера установилась, открылась. При подключении сети - зависание. Проверил несколько раз - без сети всё работает, с сетью зависает. При этом ИЕ работает всегда. (чем-то вирю именно Опера непонравилась)
В процессе перезагрузок компа при его выключении стала выскакивать ошибка:
DSC00054.jpg
Следующее, что заметил при включении компа, и ТОЛЬКО после подключения к интернету - уведомление от Касперского:
DSC00056.jpg
Так и не понял, это попытка скачать что-то с сайта, или же попытка что-то туда отправить. Касперский лишь уведомляет о попытке, и запрещает её. При этом ни сканирование отдельных файлов, ни полная проверка по максимуму ничего не дали. Тоже самое и с клиентом Dr.Web.
С аналогичной проблемой уже сталкивался несколько лет назад. Скачал новый Explorer.exe, убил процесс, удалил старый файл в C:\Windows, заменил новым из архива. Включил Оперу, подключил сеть - всё работает, ничего не зависает. Довольный лёг спать (в 4 утра).
На следующий день включил комп - всё тоже самое. Проделывал процедуру несколько раз, удалял все файлы на компе с именами Explorer (в частности по адресу C:\Windows\Prefetch нашёл файлы с именами IEXPLORE.EXE-908C99F8.pf , EXPLORER.EXE-A80E4F97.pf , мне они показались странными, предположил, что "ноги растут оттуда", но после удаления они каждый раз появляются снова и снова. Ещё смутило, что у папки Prefetch в свойствах безопасности только Администратор, и сколько я не добавлял "Система" она всё равно исчезает. Но может это и не имеет значения.)
В данный момент уже просто не знаю, что можно ещё предпринять. Понимаю, что где-то сидит зараза, которая при перезагрузке постоянно подменяет/заражает мой Explorer.exe, но вот как её найти не имею понятия. Переустановка системы как решение проблемы не рассматривается.
Надеюсь на Вашу помощь!! Спасибо!!
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Роман Ворфоломеев, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\apppatch\ahobvn.exe','');
DeleteFile('C:\Windows\apppatch\ahobvn.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
info.txt
log.txt
К сожалению, лог MBAM не сохранился, но там ничего страшного не было. Парочка старых программ, которые он заподозрил. Вроде всё работает. Огромное спасибо!!
-
195.98.64.65 195.98.64.66 ДНС Ваши?
-
-
Junior Member
- Вес репутации
- 44
Да, в свойствах подключения прописаны они. Надеюсь, так и должно быть??
-
Сообщение от
Роман Ворфоломеев
Да, в свойствах подключения прописаны они. Надеюсь, так и должно быть??
Я вижу, что они прописаны, я спрашиваю так должно быть или нет? У провайдера спросите...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-