• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не запускается автоматом explorer.exe

Статус
В этой теме нельзя размещать новые ответы.

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Погодите еще несколько минут...

Добавлено через 3 минуты 32 секунды
Запустите AVZ, меню Сервис - Поиск данных в реестре. В строке Образец введите:
C:\WINDOWS\C:\WINDOWS\system32\
Нажмите Пуск и результат поиска выложите.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
результат поиска выложите
как это сделать? после выполнения столбик "найденные ключи" пустой!!! нажимаю "Сохранить протокол" предлагается сохранить фаил Export.txt в папке с AVZ, сохраняю, размер файла 1КБ, в нем никакой полезной информации не (о ключах) кроме количества просмотренных ключей......Ща в безопасном попробую

Добавлено через 25 минут 37 секунд
C:\WINDOWS\C:\WINDOWS\system32\
если это вводить для поиска, то AVZ сканирет, но ничего не выдает
если по отдельности вводить C:\WINDOWS\ и C:\WINDOWS\system32\, то появляются ключи в столбике "Найденные ключи".
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Попробуйте по имени файла поискать
C:\WINDOWS\system32\cisvc.exe
Результат сохраните в протоколе и покажите.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
есть такой фаил. что с ним сделать? в avz поискать?
сейчас данные по реестру выложу

Добавлено через 24 минуты 51 секунду
Попробуйте по имени файла поискать
Цитата C:\WINDOWS\system32\cisvc.exe
с этим не разобрался как искать
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
:(
 

Вложения

  • c_windows.rar
    184.3 KB · Просмотры: 2
  • c_windows_system32.rar
    116.2 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Попробуем по имени службы искать.
Запустите AVZ, меню Сервис - Поиск данных в реестре. В строке Образец введите:
и сохраните протокол. Посмотрим.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Попробуйте по имени файла поискать
Цитата C:\WINDOWS\system32\cisvc.exe
Результат сохраните в протоколе и покажите.
Понял, там же, где по реестру искал в AVZ - сервис - поиск данных в реестре. В строке Образец ввожу C:\WINDOWS\system32\cisvc.exe
Сейчас будет
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
сделал
 

Вложения

  • c_windows_system32_cisvc.txt
    769 байт · Просмотры: 1

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
вот.
Что по поводу куки думаете: почему не открывается и не удаляется?
 

Вложения

  • wmdmpmsn.txt
    1.7 KB · Просмотры: 2

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Пытался в ручную обновить базу MBAM, файл rules.ref заменяется, но при открытии MBAM не видит новую базу, предлагает обновиться через интернет, потом выдает ошибку, открывается, смотрю версия базы данных: v 0.0.0.0.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Выполните скрипт в AVZ: Файл - Выполнить скрипт:
Код:
begin
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\CiSvc\','ImagePath','C:\WINDOWS\system32\cisvc.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\CiSvc\','ImagePath','C:\WINDOWS\system32\cisvc.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\CiSvc\','ImagePath','C:\WINDOWS\system32\cisvc.exe');
 RebootWindows(true);
end.

Компьютер перезагрузится.
Затем повторите стандартный скрипт №2.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Выполнил. Все по прежнему.
 

Вложения

  • virusinfo_syscheck.zip
    28.5 KB · Просмотры: 3

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
У меня появилась мысль! Может создать ему учетную запись, может в ней интернет будет работать?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Не торопитесь. Это была проба и прошла удачно. Сейчас дам еще скрипт.

Добавлено через 1 час 42 минуты 53 секунды
Выполните скрипт в AVZ: Файл - Выполнить скрипт:
Код:
begin
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\ERSvc\','ImagePath','C:\WINDOWS\System32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\ERSvc\','ImagePath','C:\WINDOWS\System32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ERSvc\','ImagePath','C:\WINDOWS\System32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\helpsvc\','ImagePath','C:\WINDOWS\System32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\helpsvc\','ImagePath','C:\WINDOWS\System32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\helpsvc\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\HTTPFilter\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\HTTPFilter\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HTTPFilter\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\mnmsrvc\','ImagePath','C:\WINDOWS\system32\mnmsrvc.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\mnmsrvc\','ImagePath','C:\WINDOWS\system32\mnmsrvc.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\mnmsrvc\','ImagePath','C:\WINDOWS\system32\mnmsrvc.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\NtLmSsp\','ImagePath','C:\WINDOWS\system32\lsass.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\NtLmSsp\','ImagePath','C:\WINDOWS\system32\lsass.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\NtLmSsp\','ImagePath','C:\WINDOWS\system32\lsass.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\PolicyAgent\','ImagePath','C:\WINDOWS\system32\lsass.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\PolicyAgent\','ImagePath','C:\WINDOWS\system32\lsass.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\PolicyAgent\','ImagePath','C:\WINDOWS\system32\lsass.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\RemoteRegistry\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\RemoteRegistry\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RemoteRegistry\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\seclogon\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\seclogon\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\seclogon\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\SSDPSRV\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\SSDPSRV\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSDPSRV\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\SSDPSRV\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\SSDPSRV\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSDPSRV\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\TrkWks\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\TrkWks\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\TrkWks\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\upnphost\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\upnphost\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\upnphost\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\W32Time\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\W32Time\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\W32Time\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\WebClient\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\WebClient\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WebClient\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet003\Services\WmdmPmSN\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet004\Services\WmdmPmSN\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSN\','ImagePath','C:\WINDOWS\system32\svchost.exe');
 RebootWindows(true);
end.

Компьютер перезагрузится.
Затем повторите стандартный скрипт №2.
Это тоже еще не финал, так что не отчаивайтесь, если не все заработает.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Выполнил скрипт, результат ноль :( Всё как и было
Делаю лог
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
:(
 

Вложения

  • virusinfo_syscheck.zip
    25.7 KB · Просмотры: 3

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\SSDPSRV', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\CiSvc', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ERSvc', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\helpsvc', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\HTTPFilter', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\mnmsrvc', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\NtLmSsp', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\PolicyAgent', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\RemoteRegistry', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\seclogon', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\TrkWks', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\upnphost', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\W32Time', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\WebClient', 'Start', 2);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\WmdmPmSN', 'Start', 2);
RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Добавлено через 1 минуту 56 секунд
отпишитесь, что с проблемой ?
 
Последнее редактирование:

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Я не знаю, что это значит на скрине Ccleaner продолжение
 

Вложения

  • Ccleaner.jpg
    Ccleaner.jpg
    89.7 KB · Просмотры: 13
  • Ccleaner продолжение.jpg
    Ccleaner продолжение.jpg
    80.3 KB · Просмотры: 17
  • startup.txt
    4.7 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
Я не знаю, что это значит на скрине Ccleaner продолжение
на скрине вы смотрите контекстное меню, хорошо не рязглядел что там, но это вполне может быть нормальной записью.

отпишитесь, что с проблемой ?
жду ответа. Интернет и остальные службы заработали ?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу