Решена Не запускается автоматом explorer.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем notecho, 26 мар 2013.

Статус темы:
Закрыта.
  1. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Здравствуйте! Помогите решить проблему, не переустанавливая систему:(
    При включении ПК - чистый рабочий стол, только фоновый рисунок. Через диспетчер задач удается запустить explorer, появляется рабочий стол и начинает загружаться ПО из автозагрузки. Антивирус загружается и нормально реагирует/отзывается, фаервол (не Windows-кий) не загружается (ошибку выдает).
    Не работает сетевое подключение (показывает, что принято и отправлено пакетов НОЛЬ), ipconfig -release, ipconfig -renew, netsh winsock reset никак не помогают. Не запускаюся некоторые программы, проигрыватель открывается, но ничего не проигрывает (ни аудио, ни видео).
    Сканировал с флэшки Dr.Web CureIt!, Kaspersky Virus Removal Tool (в безопасном режиме), Comodo Cleaning Essentials, Emsisoft Emergency Kit 3.0.0.4 - никто ничего не находит и положительный результат не достигнут.
    В Firefox в "Настройка прокси для доступа в Интернет" стоит "Использовать системные настройки прокси", хотя всегда было "Без прокси".
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      28,2 КБ
      Просмотров:
      16
    • virusinfo_syscheck.zip
      Размер файла:
      25,8 КБ
      Просмотров:
      4
    • log.txt
      Размер файла:
      34,9 КБ
      Просмотров:
      5
    • info.txt
      Размер файла:
      48,3 КБ
      Просмотров:
      3
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую notecho, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Смотрю логи.

    Добавлено через 9 минут 51 секунду
    Сделайте дополнительно лог HiJack
     
  4. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Также отключать антивирусное ПО и запускать браузеры?
     
  5. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    ПО отключайте, браузеры - не обязательно.
     
  6. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Не хочет запускаться! После переименования файла, тоже не запускается. Ща попробую в безопасном режиме.
     
  7. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Пробуйте в безопасном с поддержкой сети.
     
  8. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Сделал. AVZ сделала еще такой архив virusinfo_autoquarantine.zip, могу тоже загрузить, если надо?
     

    Вложения:

    • hijackthis.log
      Размер файла:
      9,3 КБ
      Просмотров:
      9
  9. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Не надо.
     
  10. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Есть что-нибудь интересное/подозрительное в логах?

    Добавлено через 15 минут 11 секунд
    Эх, мне бы выход в интернет сделать
     
  11. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
    Код (Text):
    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      if not IsWOW64
       then
        begin
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
        end;
     QuarantineFile('c:\windows\system32\explorer.exe','');
     DeleteFile('c:\windows\system32\explorer.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU',2,3,true);
     RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Пофиксите в HijackThis (если останутся) следующие строчки:
    Код (Text):
    O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
    Повторите логи AVZ и попробуйте сделать RSIT в нормальном режиме с подключенным интернетом.
     
  12. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Прошу прощения, вчера не заметил, что вы написали на стр.№2.
    По поводу explorer.exe, что в system32, так это я сам его туда копировал (скачивал из интернета), менял в реестре путь у параметра Shell на него, но ничего не помогло.
    Я его удалил перед тем как логи делать, или после того как сделал логи!!?! Не помню уже.
    Но все-равно сделаю то, что вы написали.

    Добавлено через 4 минуты 46 секунд
    Интернет на ПК не работает (подключение ограничено или отсутствует, что-то в этом роде, оправлено/принято пакетов НОЛЬ, обычно бывает принято=0, но не оба сразу). Просто подсоединю кабель тогда и сделаю логи??!?
     
  13. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Сделайте пока еще такой лог:

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
     
  14. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Сделал, в папке карантина AVZ только файлы с расширением .ini (оно и понятно, explorer.exe я удалил из system32, т.к. я его туда и копировал, прошу меня извинить за самовольность, теперь к зараженному ПК не лезу. Со слов пользователя ПК: "Я как обычно пользовался ПК, лазил по инету, сидел вконтакте, слушал музыку...На следующий день включаю ПК и пустой рабочий стол..." Да-да, лазил он по инету. Пофиксил пункт в HiJackThis. ПК остался в таком же состоянии :(

    Обновил базы AVZ на флешке, тупо подсоединил витуб пару к зараженному ПК, включил комп, вызвал диспетчер задач/новая задача/explorer, (фаервол выдает такую ошибку "The Online Armor service is not started and you do not have permission to start it. Please contact your system administrator", скрин сделать не смог, т.к. не открывается Paint и т.п. программы), приостановил работу защитного ПО, запустил браузеры и сделал логи AVZ, RSIT - каждый раз перезагружая ПК и отключая защитное ПО. Лог HiJackThis сделал в безопасном режиме с загрузкой сетевых драйверов, т.к. в обычном режиме он не запускается.
    :confused::confused::confused::confused::confused::confused::confused:

    Меня смущает то, что не удаляется и не открывается куки. Делаю лог MBAM.
     

    Вложения:

  15. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Почему базы MBAB качаются 25.03.2013, а не актуальные, например, 27.03.2012? Это нормально? Делаю лог с базами от 25.03.2013.
     
  16. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Ждем.
     
  17. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    MBAM не устанавливается (нажимаешь открыть на установочный файл) и не открывается уже установленный в обычном режиме. Установил, обновил базы и делаю лог в безопасном режиме с загрузкой сетевых драйверов, кабель интернета не подключал.
     
  18. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Спартанский лог :( Может поробовать переустановить windowsinstalle?:sorry::shout::hunter::moil::russian_ru:
     

    Вложения:

  19. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Сделал действия http://safezone.cc/forum/showthread.php?t=11321, чтоб запустить MBAM в обычном режиме - в бестолку, не запускается.
    Может попробовать переустановить Windows Installer или еще логи в каких-нибудь программах сделать??? :(:confused:

    Добавлено через 4 минуты 30 секунд
    Что за куки на скрине Безымянный.jpg и почему она не удаляется????
     
  20. notecho
    Оффлайн

    notecho Пользователь

    Сообщения:
    50
    Симпатии:
    0
    Самая первая куки
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей