• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не запускается автоматом explorer.exe

Статус
В этой теме нельзя размещать новые ответы.

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Здравствуйте! Помогите решить проблему, не переустанавливая систему:(
При включении ПК - чистый рабочий стол, только фоновый рисунок. Через диспетчер задач удается запустить explorer, появляется рабочий стол и начинает загружаться ПО из автозагрузки. Антивирус загружается и нормально реагирует/отзывается, фаервол (не Windows-кий) не загружается (ошибку выдает).
Не работает сетевое подключение (показывает, что принято и отправлено пакетов НОЛЬ), ipconfig -release, ipconfig -renew, netsh winsock reset никак не помогают. Не запускаюся некоторые программы, проигрыватель открывается, но ничего не проигрывает (ни аудио, ни видео).
Сканировал с флэшки Dr.Web CureIt!, Kaspersky Virus Removal Tool (в безопасном режиме), Comodo Cleaning Essentials, Emsisoft Emergency Kit 3.0.0.4 - никто ничего не находит и положительный результат не достигнут.
В Firefox в "Настройка прокси для доступа в Интернет" стоит "Использовать системные настройки прокси", хотя всегда было "Без прокси".
 

Вложения

  • virusinfo_syscure.zip
    28.2 KB · Просмотры: 16
  • virusinfo_syscheck.zip
    25.8 KB · Просмотры: 4
  • log.txt
    34.9 KB · Просмотры: 5
  • info.txt
    48.3 KB · Просмотры: 3

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую notecho, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Смотрю логи.

Добавлено через 9 минут 51 секунду
Сделайте дополнительно лог HiJack
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Также отключать антивирусное ПО и запускать браузеры?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
ПО отключайте, браузеры - не обязательно.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Не хочет запускаться! После переименования файла, тоже не запускается. Ща попробую в безопасном режиме.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Пробуйте в безопасном с поддержкой сети.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Сделал. AVZ сделала еще такой архив virusinfo_autoquarantine.zip, могу тоже загрузить, если надо?
 

Вложения

  • hijackthis.log
    9.3 KB · Просмотры: 9

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Есть что-нибудь интересное/подозрительное в логах?

Добавлено через 15 минут 11 секунд
Эх, мне бы выход в интернет сделать
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('c:\windows\system32\explorer.exe','');
 DeleteFile('c:\windows\system32\explorer.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Пофиксите в HijackThis (если останутся) следующие строчки:
Код:
O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)

Повторите логи AVZ и попробуйте сделать RSIT в нормальном режиме с подключенным интернетом.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Прошу прощения, вчера не заметил, что вы написали на стр.№2.
По поводу explorer.exe, что в system32, так это я сам его туда копировал (скачивал из интернета), менял в реестре путь у параметра Shell на него, но ничего не помогло.
Я его удалил перед тем как логи делать, или после того как сделал логи!!?! Не помню уже.
Но все-равно сделаю то, что вы написали.

Добавлено через 4 минуты 46 секунд
Интернет на ПК не работает (подключение ограничено или отсутствует, что-то в этом роде, оправлено/принято пакетов НОЛЬ, обычно бывает принято=0, но не оба сразу). Просто подсоединю кабель тогда и сделаю логи??!?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Сделайте пока еще такой лог:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Сделал, в папке карантина AVZ только файлы с расширением .ini (оно и понятно, explorer.exe я удалил из system32, т.к. я его туда и копировал, прошу меня извинить за самовольность, теперь к зараженному ПК не лезу. Со слов пользователя ПК: "Я как обычно пользовался ПК, лазил по инету, сидел вконтакте, слушал музыку...На следующий день включаю ПК и пустой рабочий стол..." Да-да, лазил он по инету. Пофиксил пункт в HiJackThis. ПК остался в таком же состоянии :(

Обновил базы AVZ на флешке, тупо подсоединил витуб пару к зараженному ПК, включил комп, вызвал диспетчер задач/новая задача/explorer, (фаервол выдает такую ошибку "The Online Armor service is not started and you do not have permission to start it. Please contact your system administrator", скрин сделать не смог, т.к. не открывается Paint и т.п. программы), приостановил работу защитного ПО, запустил браузеры и сделал логи AVZ, RSIT - каждый раз перезагружая ПК и отключая защитное ПО. Лог HiJackThis сделал в безопасном режиме с загрузкой сетевых драйверов, т.к. в обычном режиме он не запускается.
:confused::confused::confused::confused::confused::confused::confused:

Меня смущает то, что не удаляется и не открывается куки. Делаю лог MBAM.
 

Вложения

  • quarantine.zip
    591 байт · Просмотры: 3
  • virusinfo_autoquarantine.zip
    48.9 KB · Просмотры: 5
  • virusinfo_syscheck.zip
    28.7 KB · Просмотры: 1
  • virusinfo_syscure.zip
    28.2 KB · Просмотры: 2
  • Безымянный.jpg
    Безымянный.jpg
    59.8 KB · Просмотры: 8
  • log.txt
    34.8 KB · Просмотры: 1
  • info.txt
    48.4 KB · Просмотры: 1
  • hijackthis.log
    9.2 KB · Просмотры: 2

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Почему базы MBAB качаются 25.03.2013, а не актуальные, например, 27.03.2012? Это нормально? Делаю лог с базами от 25.03.2013.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
MBAM не устанавливается (нажимаешь открыть на установочный файл) и не открывается уже установленный в обычном режиме. Установил, обновил базы и делаю лог в безопасном режиме с загрузкой сетевых драйверов, кабель интернета не подключал.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Спартанский лог :( Может поробовать переустановить windowsinstalle?:sorry::shout::hunter::moil::russian_ru:
 

Вложения

  • mbam-log-2013-03-27 (14-00-32).txt
    2.3 KB · Просмотры: 5

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Сделал действия http://safezone.cc/forum/showthread.php?t=11321, чтоб запустить MBAM в обычном режиме - в бестолку, не запускается.
Может попробовать переустановить Windows Installer или еще логи в каких-нибудь программах сделать??? :(:confused:

Добавлено через 4 минуты 30 секунд
Что за куки на скрине Безымянный.jpg и почему она не удаляется????
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Самая первая куки
 

Вложения

  • Безымянный.jpg
    Безымянный.jpg
    60.3 KB · Просмотры: 9
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу