Security Teams



:::
  Ответ в темуСоздание новой темыСоздание опроса

> Explorer.exe что то заражает!, Как вылечить посоветуйте?
V!t@l!$
Дата 30.09.2010 - 22:08
Цитировать сообщение
Offline



Fanat
***

Профиль
Группа: -users-
Сообщений: 261
Пользователь №: 5198
Регистрация: 16.05.2007



Рейтинг:
(30%) XX---


explorer.exe на стареньких компьютерах в одной организации, показывает постоянно что инфицирован, когда я установил на них ESET NOD 3. Вылечить не может - удалить файл естественно тоже. Что можно предпринять, чтобы не переустанавливать операционную системму т.к. времени нету мне этим заниматься и всякими программами там напичкано, что мама не горюй? Подменял explorer.exe с чистого компьютера (было скопировано с той самой операционной системмы и версии в данном случае WindowsXP SP1) - сразу же оказывался зараженным при переносе, о чем сигнализировал антивирус выше сказанный. Кто что посоветует?


--------------------
Люблю девушек. Люблю музыку.
PMПисьмо на e-mail пользователюСайт пользователяICQ
Top
Kom@nd'Or
Дата 1.10.2010 - 08:01
Цитировать сообщение
Offline



Expert
******

Профиль
Группа: -editors-
Сообщений: 2078
Пользователь №: 48
Регистрация: 2.03.2005



Рейтинг:
(90%) XXXXX


TrojanRemover
потом DrWEb Cureit в безопасном режиме, а лучше с внешнего носителя.


--------------------
--
Hайден неизвестный драйвер, воткните какое-нибудь устройство!
---
[b]Во имя процесса-отца, процесса-сына и святаго root"а... Enter! [/b]
PMICQYahoo
Top
Kom@nd'Or
Дата 10.10.2010 - 16:49
Цитировать сообщение
Offline



Expert
******

Профиль
Группа: -editors-
Сообщений: 2078
Пользователь №: 48
Регистрация: 2.03.2005



Рейтинг:
(90%) XXXXX


Хотел раньше, да был занят ...
Копи-паст с 0day.kiev.ua:

как правильно лечить вирусы без переустановки винды. часть первая.

1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet)
2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска
(просто снять галки со всего кроме userinit, exploer, ctfmon)
https://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx
https://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx
3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр
4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся.
5. скачать, прожечь на болванку WinPEmini, загрузится с компакта
(если винт SATA - либо отключить AHCI либо юзать Alkid liveCD)
6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних
7. вручную почистить темпа (папки временных файлов)
%temp%
C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files
8. из-под WinPEmini запустить полную проверку CureIt`ом
https://www.freedrweb.com/cureit/?lng=ru
(!) хитрость = екзешник launch.exe нужно распаковать в отдельную папку и запускать _start.exe
9. важно!!! по окончанию сканирования не спешить перезагружатся!
нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32
(на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится)
10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32
11. после зачистки пытаемся грузится в "Безопасном режиме"

- если грузится запускаем TrojanRemover
https://www.simplysup.com/tremover/download.html
чтобы нейтрализовать остаточное действие троянов
(!) если будет ругатся на userinit - exclude (добавить в исключение)

- если не грузится вспоминаем про такую вещь как ERDCommander (поднятие винды это уже отдельная тема, если найду время - распишу)

12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты
(см. ниже 2-й пост в этой теме)
____________________________

реестр

если после лечения ось грузится но панель задач не подггружается и виден лишь фон рабочего стола...

Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit ->
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\
в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр
Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe)
удаляем этот параметр, закрываем regedit, вновь запускаем диспетччер задач и запускаем explorer

кроме того после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен)
советую обратить внимание на следующие кусты реестра:
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
из-под alkid live cd проверь кусты реестра, отвечающие за шелл и автозагрузку

HKEY_LOCAL_MASHINE\Software\Microsoft\Windows NT\Currentversion\Image File Execution Options
- ищи "папочку" с названием explorer.exe, выдели его, в правой части окна будет ключ "Debugging options" или "Debug" -> выдели его ни нажми Del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
* shell должен быть просто Explorer.exe без префиксов и добавок вроде csrsc и т.д.

!!!кроме того, в процесе зачистки очередного компа был найден мутировавший вариант авторана, который прописывал вместо шела ахинею в другом ключе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2
если такой раздел (я имею ввиду "винлого2") существует - найти там параметр shell и удостовериться что он равен explorer.exe

также проверить записи в кустах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

поколдуй с реестром:

1. скопируй в отдельную папку текущий реестр
(C:\Windows\system32\config
файлы без расширения
default
sam
security
software
system)

2. замени текущий реестр тем что находиться в папке
C:\Windows\Repair
- загрузиться голая винда(!), это реестр на момент установки
сделай sfc /scannow
чтобы восстановить системные файлы, потом из-под лайв СД
опять верни рабочий реестр и пробуй грузиться


___________________________________________________________________________

после чистки рекомендуеться:

- Пуск -> Выполнить -> sfc /scannow
- CCleaner
https://www.ccleaner.com/download/builds/downloading-slim
- бекап данных
- юзанье Opera / FireFox вместо IE
- отключения авторана (актуально для флешей)
- здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его

своевременно,не лазить по сайтам из группы риска blum.gif

p.s.
как лечить вирусы я расписывал в этой теме
https://forum.0day.kiev.ua/index.php?s=&...t&p=1116903
и в этой
https://forum.0day.kiev.ua/index.php?showtopic=85004

удачной охоты sarcastic_blum.gif
специально для 0day, © Glok17

______________________________________________
______________________________________________

как правильно лечить форточки от заразы. часть вторая

как бы я лечил компы в малой сети (фирма = 10-15 компов в одной рабочей группе)

1. по-одной отключать тачки от сети (физически выдергивая езернетовский шнурок)
2. Autoruns & Process Explorer - убрать лишнее из оперативки и автозагрузки (чтоб потом не ругалось)
3. AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17
4. грузится из-под LiveCD (Mini XP/WinPE mini) и килять темпа+откаты, после полный скан CureIt`ом
(!) есть одна маленькая особенность - чтобы запустить Cureit нужно его екзешник (launch.exe)
распаковать в отдельную папку и уже из этой папки запускать файлик _start.exe
5. после этого в SafeMode запустить KidoKiller, после него TrojanRemover
6. загрузится в нормальном, каспер снести нафиг, поставить заплаты от кидо (линки смотри ниже)
7. если нужно - дополнительно профиксить систему Hijack This
8. проверить нормально ли функционируют службы винды (services.msc) и нет ли ошибок в евентлоге (eventvwr.msc)
9. поставить нормальный антивирь. если инет не идет через сервер/шлюз - также поставить фаервол
(EAV v 4.0.417 + Outpost 2009 либо ESS)
10. (!) только после выполнения предведущих пунктов комп можно пустить в сеть/инет
11. если возникнут проблемы со стеком TCP/IP - профиксить WinsockXPFix
12. (!) отбить руки тем кто пользуется IE и отключить автозапуск с флешей и сетевых дисков
13. убить админа который допустил разгул вирей sarcastic_blum.gif


--------------------
--
Hайден неизвестный драйвер, воткните какое-нибудь устройство!
---
[b]Во имя процесса-отца, процесса-сына и святаго root"а... Enter! [/b]
PMICQYahoo
Top

Опции темы Ответ в темуСоздание новой темыСоздание опроса