Последствия вирусной атаки: iexplorer.exe; explorer.exe - application error. Как вылечить?

@Zhelka · Регистрация: 28.07.2010

Студворк — интернет-сервис помощи студентам

Здравствуйте.
Помогите справиться с проблемой.
Поймала вирус. Теперь не открывается ни один из интернет браузеров: при попытке открыть, окно либо сразу сворачивается через 2-3 сек, либо вылезает сообщение "iexplorer.exe - application error".
Также возникли проблемы с explorer.exe: при включении (перезагрузке) появляется окно с информацией об обнаружении ошибки в файле explorer.exe. Иногда при этом десктоп не загружается, приходится эксплорер вызывать через Task Manager.
Помогите, пожалуйста, работа стоит, а сроки поджимают.
Логи прилагаю.
ЗЫ: спасибо, что вы есть :-)

@FilipFray · 28.07.2010, 11:41

На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Opera\setupapi.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
 QuarantineFile('C:\WINDOWS\system32\ctbvjh.exe','');
 QuarantineFile('C:\WINDOWS\system32\bff5b56c.exe','');
 QuarantineFile('C:\Documents and Settings\angela\Start Menu\Programs\Startup\monoca32.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.bak','');
 QuarantineFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
 QuarantineFile('C:\WINDOWS\System32\mssfc.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\Documents and Settings\angela\Start Menu\Programs\Startup\monoca32.exe');
 DeleteFile('C:\WINDOWS\system32\bff5b56c.exe');
 DeleteFile('C:\WINDOWS\system32\ctbvjh.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('C:\Program Files\Opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните после перезагрузки

Code
1
2
3
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив с именем quarantine.zip, отправьте его на StanlyTvidelWERmail.ru, где WER = @ Укажите ссылку на свою тему.

http://www.trendsecure.com/por... ckThis.zip ~ 400 kb Распакуйте файлы из архива на локальный диск.
Запустите HajackThis. Нажмите “Do a system scan and save a logfile”. Вследствие чего, в папке с HajackThis, появится файл hijackthis.log, который следует добавить к вашему сообщению.

@Zhelka · 28.07.2010, 13:06 **[ТС]**

Сделано.
Вот лог с HiJackThis:

@Zhelka · 28.07.2010, 13:35 **[ТС]**

Всё работает.
Спасибо вам огромное!

@FilipFray · 28.07.2010, 14:25

Code
1
2
3
C:\Program Files\Opera\setupapi.dll, C:\Program Files\Internet Explorer\setupapi.dll - инфицирован Trojan.Win32.BHO.aihr (kaspersky)
C:\WINDOWS\system32\ctbvjh.exe, C:\WINDOWS\system32\bff5b56c.exe - инфицирован Backdoor.Win32.Shiz.gen (kaspersky)
C:\WINDOWS\system32\sfcfiles.dll - infected with Trojan.WinSpy.921 (dr.web)

Code
1
C:\WINDOWS\system32\sidebar32.exe, C:\Documents and Settings\angela\Start Menu\Programs\Startup\monoca32.exe - отправлены в вир.лаб.

На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Повторите логи (virusinfo_syscheck.zip, virusinfo_syscure.zip, hijackthis, RSIT).

Добавлено через 11 минут
Перед повторением логов обновите базы AVZ.

@Zhelka · 28.07.2010, 15:22 **[ТС]**

Новые логи с HiJackThis, RSIT и AVZ

@FilipFray · 28.07.2010, 16:18

Соблюдайте осторожность при редактировании реестра. Некорректные действия могут вызвать крах системы.

Code
1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SFC

удалите раздел LEGACY_SFC

Для удаления раздела LEGACY_SFC нужно выставить права доступа. Щелкните по разделу LEGACY_SFC правой кнопкой и выберите пункт "Разрешения..." Выделите группу Все и нажмите кнопку Дополнительно. Снова выделите группу Все и нажмите кнопку Изменить. Поставьте галку на пункте Полный доступ и сохраните изменения.

На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Code
1
2
3
4
5
6
7
begin
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Повторите virusinfo_syscure.zip, log.zip.

@Zhelka · 28.07.2010, 17:54 **[ТС]**

Раздел удалила.
При перезагрузке копм опять выдал предупреждение об обнаруженной ошибке.
Повторила ещё раз логи:

@FilipFray · 29.07.2010, 10:35

На время манипуляций отключите защитное ПО, интернет\сеть.

MD5: 49582E999155CDF2812A1D645CAF0831
http://ifolder.ru/18702138 (~ 2 Mb) - загрузите программу Ice Sword. Распакуйте в отдельную папку.
Запустите программу Ice Sword. В левом нижнем углу нажмите на пункт "File". Появится аналог проводника Windows. Путем разворачивания крестика (+) перейдите к файлу C:\WINDOWS\system32\sfcfiles.bak. Нажмите не нем правой кнопкой мыши, в контекстном меню выберите пункт "force delete".
Перезагрузите компьютер.

Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Code
1
2
3
4
5
begin
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Повторите log.zip и virusinfo_syscure.zip.

Сообщение от Zhelka

При перезагрузке копм опять выдал предупреждение об обнаруженной ошибке

Снимок ошибки покажите.

@Zhelka · 29.07.2010, 14:48 **[ТС]**

Ошибка больше не появлялась, а в тот единственный раз снимок я, увы, не сделала.
Новые логи прикладываю.

@FilipFray · 29.07.2010, 15:55

Ничего подозрительного. Лечение завершено.

@Zhelka · 29.07.2010, 21:31 **[ТС]**

Спасибо вам огромное!!!

Новые блоги и статьи Все статьи Все блоги /
Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .
Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .

@Zhelka 0 / 0 / 0 Регистрация: 28.07.2010 Сообщений: 7
	28.07.2010, 13:35 [ТС]
	Всё работает. Спасибо вам огромное! 0

@FilipFray 2526 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	29.07.2010, 15:55
	Ничего подозрительного. Лечение завершено. 1

@Zhelka 0 / 0 / 0 Регистрация: 28.07.2010 Сообщений: 7
	29.07.2010, 21:31 [ТС]
	Спасибо вам огромное!!! 0