-
Junior Member
- Вес репутации
- 40
&am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;q uot; expl orer
Началось всё со скачки Counter strike: Source. Игра периодически подтормаживала по неизвестным причинам, что не свойственно. Я начал искать решение в интернете и набрёл на сайт(походу левый). Там я загрузил setup.exe как бы устраняющий проблему. После запуска файл исчез, а в браузере опера вместо страниц начало появлятся "Аварийное закрытие страниц" (даже стратовой) и просьба оценить качество интернет соединения в опере(кроме IE, наверно, из-за старой версии). В диспетчере задач появились несколько задач браузера опера и IE, при их включении. При проверки AVZ выдаёт подозрительный файл "explorer.dll" и ещё несколько. Вот собранные файлы с логами. Надеюсь на вашу помощь!
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
И ещё: забыл сказать что всё время появляется папка C:\Application Data с файлом "explorer.exe", и так же и в папке Мои Документы, но он с файлами explorer.exe, explorer.dat, explorer.reg. Даже после удаления, при перезагрузке, они всё равно появляются.
Последний раз редактировалось Karnadg; 27.07.2013 в 23:26.
Причина: забыл сказать...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Karnadg, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Application Data\explorer.exe','');
QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
DeleteFile('C:\Documents and Settings\Admin\Мои документы\Application Data\explorer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сообщение от
Karnadg
explorer.dat, explorer.reg
тоже удалите
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
1 пункт: Скрипт был выполнен(или недовыполнен) из-за "Синего экрана смерти" на стадии перезагрузки (BAD_POOL_HEADER(вверху) STOP: 0x00000019 (0x00000020, 0xE13E72F0, 0xE13E7320, 0x0C060403))
2 пункт: надеюсь что прислал тот файл.
3 пункт: после удаления и перезагрузки не появлялись(как в корневой папке 'с:', так и в папке 'Мои документы').
4 пункт: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
Дополнительно:
1.: опера теперь не закрывает вкладки с сообщением об аварийном закрытии но опрос о сети остался.
2.: время отключения компьютера увеличилось.
3.: explorer.dll остался в папке 'с:/windows/windows32/' и в реестре
Последний раз редактировалось Karnadg; 28.07.2013 в 08:27.
Причина: Написал дополнение
-
Хм, странно, что в скрипт не попало удаление explorer.dll
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\WINDOWS\system32\explorer.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
explorer.dll - удалён. Вот логи: virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip
Сейчас сижу с оперы и пока что ничего не выскакивало, "полёт" нормальный. При перезагрузке BSoD не появлялся. Спасибо!
-
Пофиксите в HIJack
Код:
O4 - HKCU\..\Run: [~backup~] C:\Documents and Settings\Admin\Мои документы\Application Data\explorer.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Сделано! Но осталось ещё кое что. Время выключеия компьютера. Оно длится, примерно, 15 сек.
-
Это уже не имеет отношения к вирусам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Ну ок. Спасибо! Вот вам - копейка, Копейка.jpg !!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\мои документы\\application data\\explorer.exe - Trojan.Win32.Jorik.Cidox.ym
- c:\\windows\\system32\\explorer.dll - Trojan.Win32.Cidox.aguz
-