Заражён Explorer.exe. Замена на новый не спасает.

**Роман Ворфоломеев** · 09.06.2012, 17:16

Добрый день!!
Начну по порядку.

Несколько дней на компе не работал Касперский. Потом снова был запущен.
При запуске Оперы (даже без вкладок) она стала выдавать ошибку, предлагать отправить отчёт, и закрываться. Грешил на Оперу, так как ИЕ работал (хотя и как-то с тормозами и подвисаниями). Снёс Оперу, почистил реестр и все что только можно. При установке новой Оперы - та же ошибка и зависание. В самом начале процесса установки.
Понял, что дело неладно. После перезагрузки компа (сеть ещё не подключилась к интернету) установка нормально запустилась, Опера установилась, открылась. При подключении сети - зависание. Проверил несколько раз - без сети всё работает, с сетью зависает. При этом ИЕ работает всегда. (чем-то вирю именно Опера непонравилась)
В процессе перезагрузок компа при его выключении стала выскакивать ошибка:

DSC00054.jpg

Следующее, что заметил при включении компа, и ТОЛЬКО после подключения к интернету - уведомление от Касперского:

DSC00056.jpg

Так и не понял, это попытка скачать что-то с сайта, или же попытка что-то туда отправить. Касперский лишь уведомляет о попытке, и запрещает её. При этом ни сканирование отдельных файлов, ни полная проверка по максимуму ничего не дали. Тоже самое и с клиентом Dr.Web.
С аналогичной проблемой уже сталкивался несколько лет назад. Скачал новый Explorer.exe, убил процесс, удалил старый файл в C:\Windows, заменил новым из архива. Включил Оперу, подключил сеть - всё работает, ничего не зависает. Довольный лёг спать (в 4 утра).
На следующий день включил комп - всё тоже самое. Проделывал процедуру несколько раз, удалял все файлы на компе с именами Explorer (в частности по адресу C:\Windows\Prefetch нашёл файлы с именами IEXPLORE.EXE-908C99F8.pf , EXPLORER.EXE-A80E4F97.pf , мне они показались странными, предположил, что "ноги растут оттуда", но после удаления они каждый раз появляются снова и снова. Ещё смутило, что у папки Prefetch в свойствах безопасности только Администратор, и сколько я не добавлял "Система" она всё равно исчезает. Но может это и не имеет значения.)

В данный момент уже просто не знаю, что можно ещё предпринять. Понимаю, что где-то сидит зараза, которая при перезагрузке постоянно подменяет/заражает мой Explorer.exe, но вот как её найти не имею понятия. Переустановка системы как решение проблемы не рассматривается.

Надеюсь на Вашу помощь!! Спасибо!!

virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.06.2012, 17:18

Уважаемый(ая) Роман Ворфоломеев, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 10.06.2012, 11:56

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\apppatch\ahobvn.exe','');
 DeleteFile('C:\Windows\apppatch\ahobvn.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

**Роман Ворфоломеев** · 14.06.2012, 18:21

hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
info.txt
log.txt

К сожалению, лог MBAM не сохранился, но там ничего страшного не было. Парочка старых программ, которые он заподозрил. Вроде всё работает. Огромное спасибо!!