Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Explorer.exe очистка невозможна (http://forum.oszone.net/showthread.php?t=226682)

Silumin 31-01-2012 13:58 1848386
Explorer.exe очистка невозможна
 
Вложений: 2
  • info.txt (9.30 KB, скачиваний: 7)
  • log.txt (58.00 KB, скачиваний: 8)
Здравствуйте поймал какую-то бяку.
Eset пишет : 31.01.2012 13:27:45 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(444) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна MICROSOF-CB4A0C\Admin
Также перезагрузившись после 3 скипта C:\WINDOWS\apppatch\mpwkua.exe не является приложением Win32. [OK]
Посмотрите логи плизз.
Да, после заражения появился процесс java.exe после некоторые сайты не открывались, ролики Youtube не воспоизводились. Сейчас процесс исчез. ролики работают.

thyrex 31-01-2012 14:16 1848408
Пофиксите в HiJack
Код:
F3 - REG:win.ini: load=C:\WINDOWS\apppatch\mpwkua.exe
F3 - REG:win.ini: run=C:\WINDOWS\apppatch\mpwkua.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\mpwkua.exe,
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\apppatch\mpwkua.exe','');
 DeleteFile('C:\WINDOWS\apppatch\mpwkua.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Silumin 31-01-2012 20:02 1848705
Вложений: 2
  • info.txt (10.50 KB, скачиваний: 8)
  • log.txt (58.80 KB, скачиваний: 10)
Извините я отходил. Ситуация такая комп вис сильно, я не смог в нет зайти.
Сделал восстановление с резервной копии Acronics. Сейчас вроде в норме все, но не уверен что образ был не заражен, прилагаю логи на данный момент. Посмотрите

thyrex 31-01-2012 21:10 1848774
Пофиксите в HiJack
Код:
F2 - REG:system.ini: Shell=C:\WINDOWS\EXPLORER.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\USERINIT.EXE
Больше ничего необычного

Пароли рекомендую сменить

Silumin 31-01-2012 21:20 1848784
Если паролей около 50 их все менять?
Или только те, которые вводил в период заражения?

thyrex 01-02-2012 00:19 1848916
Все


Время: 18:34.

Время: 18:34.
© OSzone.net 2001-