Зловред сносит ассоциации исполняемых файлов

[B.Mike ТС]

История такая: маленькая конторка, сидят две деуки. Работают с Экселем, немного с Вордом, допотопной версией 1С и собссно и всё. Собрана локалка на 3 машины, с выходом в и-нет через роутер, ничё хитрого. Винда везде ХРя, стоит Каспер.
Так вот, после <некоторых действий> слетают ассоциации exe, com, bat, pif, lnk и тому подобное. Соответственно комп умирает. Восстанавливаться руками не хочет, ощущение, что толи зловред активно противодействует, толи как-то хитро настраивает права доступа к файлам и/или разделам реестра. Помогает накатать винду из дистрибутива поверх. Ни Каспер, ни Вэб, ни AVZ ничего подозрительного не находят. На роутере заблокированы порты 135-139, 445 по всем протоколам; вафля сделана гостевая, т.е. без доступа в локалку. Единственное - все сидят в винде под учёткой с админскими правами, но делать им там пентагон как-то рука не поднимается.
Что за действия приводят к сабжу - пока до конца не ясно, вроде при работе с оффисными файлами, но я подозреваю, что таки при открытии чего-то из и-нета. Юзают ненавистный мной гугл хром.
Пробовал снести вообще всё наф, накатать свежую винду со всеми обновками, 2010-й офис (у них 2003-й везде) с обновками, наисвежайший КИС2013 - всё работало шикарно, пока не допустил до компа хозяек   Т.е. зловред таки либо где-то в офисных файлах прячется; либо где-то в почте/и-нете. Но вырубить и-нет полностью нельзя, нужен для работы.
Вопрос:
1. Как поймать заразу?
2. Что это вообще за зверюга, мож кому знакома?
3. Какие ещё меры защиты можно предпринять, акромя установки пароля на Админа и перехода на работу под юзерской учёткой?

[Serg_ch]

Завести еще одного юзверя с правами админа, а у этих насильно забрать права на изменения в реестре?

[B.Mike ТС]

Можно, но полумера. Хотелось бы не пускать зловреда в хату, а не держать его в углу с завязанными руками. Да и задолбают же потом "програаамку поставить не можем; обои на рабочем столе не меняются;..."

[Кувалдыч]

слетают ассоциации exe, com, bat, pif

это как? у экзешников нет ассоциаций... они так запускаются сами по себе.

[Fabula_4x4]

А каких-нибудь посторонних процессов не видно? Есть программулька интересная, StarterSetup, могу кинуть на мыло...

[AlBants]

Да и задолбают же потом "програаамку поставить не можем..."

Деуки продвинутые?
Мож чего portable на флешках таскают?
На вирус не похоже, скорее какое-то легальное "глюковаре".
Вроде, например, броузерных панелей и т.д.
Проверить в списке установленных программ.

...установки пароля на Админа и перехода на работу под юзерской учёткой?

Самое правильное.
Хром в топку. Пусть дома им ходят

[B.Mike ТС]

А каких-нибудь посторонних процессов не видно?

Нет, но это не значит что их нет

Есть программулька интересная, StarterSetup, могу кинуть на мыло...

Что она делает? Если автозагрузки проверяет - у мну есть, там ничего лишнего нет.

Деуки продвинутые? Мож чего portable на флешках таскают?

Клянутся что ничё не ффтыкали. Ну пороюсь ещё в кэшмуи, но врядли.

Порылся сейчас в истории хрома - все загруженные файлы уже после очередного приступа, до этого открывались явно безобидные ссылки тима майла.ру, тындыкса и т.д.
В логах КИСа пусто; системные логи - сцуко повреждены, ессесьна

Это не глюк, это точно зловред. Причём классный, давно таких не попадалось.

[NF]

1. Как поймать заразу?

Накатить образа и стоять над душой, следя за каждым движением.

всё работало шикарно, пока не допустил до компа хозяек

Вывод очевиден, не?

акромя установки пароля на Админа и перехода на работу под юзерской учёткой?

Нет других способов, даже трезвый ум, расчёт и опыт - не панацея от вирусов. Только юзерские права и включенный UAC, жаль на хре его нет. Выбор маленький - либо работа из-под юзера, либо - постоянные поиски одмина для полечить и простои в работе.

Клянутся что ничё не ффтыкали.

Сделай им ЭТО:

Option Explicit

Set ws = WScript.CreateObject("WScript.Shell")

Dim Msg, Msg1, Style, Title, Help, Ctxt, Response, MyString, ws, flag, thiscomp, p1, p2, k, n

p1 = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\start"
Msg = "Использование USB-накопителей "         'сообщение
Style = vbYesNoCancel + vbQuestion + vbDefaultButton2   'кнопки
Title = "Доступ к USB-накопителям "         'заголовок
thiscomp = " на данной рабочей станции "
Help = ""                   'файл справки
Ctxt = 0 'контекст
k = "REG_DWORD"
n = ws.RegRead(p1)

If n = 0 Then
   Msg1 = Msg & "код = 0"
End If
If n = 1 Then
   Msg1 = Msg & "код = 1"
End If

If n = 2 Then
   Msg1 = Msg & "код = 2"
End If

If n = 3 Then
   Msg1 = Msg & "разрешено"
End If

If n = 4 Then
   Msg1 = Msg & "в целях обеспечения безопасности запрещено"
End If


Msg = Msg1 & "." & chr(13) & chr(13) & Title & thiscomp & "в дальнейшем запретить?"  & chr(9) & chr(13) & chr(13)


Response = MsgBox(Msg, Style, Title, Help, Ctxt)

If Response = vbYes Then   'нажата кнопка "Да" (Yes)
   n = 4         'выполняет действие
End If

If Response = vbNo Then      'нажата кнопка "Нет" (No)
   n = 3
End If

If Response <> vbCancel Then
   ws.RegWrite p1, n, k

   Msg = "Внимание!"
   Msg = Msg & chr(13) & chr(13)
   Msg = Msg & "Использование USB-устройств "
   Msg = Msg & thiscomp
   
   If n = 3 Then
      Msg = Msg & "разрешено"
      Style = vbOKOnly + vbExclamation
   End If

   If n = 4 Then
      Msg = Msg & "запрещено"
      Style = vbOKOnly + vbCritical
   End If

   Msg = Msg & "." & chr(9) & chr(13) & chr(13)

   Response = MsgBox(Msg, Style, Title, Help, Ctxt)
End If

If Response = vbCancel Then
   Style = vbOKOnly + vbInformation
   Response = MsgBox("Выбрана отмена. "  & chr(13) & chr(13) & "Никаких изменений не произведено. " & chr(13) & Msg1 & ". " & chr(9) & chr(13) & chr(13), Style, Title)
End If

Если не завоют - значит не втыкали))))

[reebok76]

Попробуй каждый комп в отдельности, отключив от локалки и прочих вафель, прогнать на вирусы со съемного носителя до запуска винды. Раньше это называлось из под MS-DOS.

[NF]

Раньше это называлось из под MS-DOS

А сейчас это называется "LiveCD" или, что современнее - "LiveUSB", то и другое есть у доктора-сеточки. Однако, лично я предпочитаю выдернуть винт и проверить на чистой машине.

[B.Mike ТС]

Сделай им ЭТО:

"Нельзя так с переводчиками!"(С)

Попробуй .... из под MS-DOS.

Пробовал, чисто. Толи не видится зловред, толи он вообще самоудаляется после того как...

[B.Mike ТС]

Кстати сэйф-моду зловред тоже блочит. F8 тупо вообще не срабатывает.

[NF]

Это простой VBS-скрипт, меняет значение параметра в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\start с 3 на 4. Можешь это сделать сам ручками через регедит, у меня этот скрипт с древних времен когда разом 40 компов надо было по УСБ закрыть.

[Fabula_4x4]

Что она делает? Если автозагрузки проверяет - у мну есть, там ничего лишнего нет.

Смотрит автозагрузку в том числе и реестровую, можно блокировать/разблокировать, А-ля "диспетчер задач" с перечислением подключенных DLL для каждой задачи, а также "службы", можно запускать/останавливать...

[NF]

Смотрит автозагрузку в том числе и реестровую

Кстати сэйф-моду зловред тоже блочит. F8 тупо вообще не срабатывает.

Я скромно предположу, что в момент загрузки и срабатывания зловреда система даже не знает, что у неё есть реестр и прочие автозагрузки.