• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не запускается автоматом explorer.exe

Статус
В этой теме нельзя размещать новые ответы.

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Здравствуйте!
Выполнил первый ваш скрипт - explorer.exe не загружает рабочий стол автоматом, подсоединил кабель, чтобы проверить интернет (тоже самое - принято/отправлено пакетов НОЛЬ, щелкаю ярлык VPN-подключения на рабочем столе - выдает 800 ошибку ----- странно всё это (отправлено пакетов НОЛЬ, 800 ошибка, когда значек сети сигнализирует "Подключение ограничено или отсутсвует.....")).

Решил снова выполнить этот же скрипт. Во время выполнения происходит BSOD (на синем экране написано, что виновник OAmon.sys).

Я подумал, что отключил не все защитное ПО и решил еще раз выполнить этот же скрипт более внимательно. Всё отключил, жму выполнить - снова BSOD и виновник OAmon.sys.

Я задумался...Ведь не было ни какого BSOD. Вытащил интернет кабел и без проблем скрипт выполнился, НО результат тот же. БЕЗ кабеля BSOD не случается.

Я не могу отключить фаервол, т.к. его интерфейс не грузится, а выдает ошибку. Может удалить Online Armor в безопасном режиме? Или завершить его процессы (oacat.exe, oahlp.exe) в диспетчере задач?

Добавлено через 17 минут 1 секунду
quarantin.zip пустой. Делаю логи.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Временно деинсталлируйте все антивирусы:

Emsisoft Anti-Malware
HitmanPro 3.7
Online Armor 6.0
Panda Cloud Cleaner
Sandboxie 3.76
SpyShelter Personal Free 8.0
SUPERAntiSpyware
Zemana AntiLogger Free

После этого повторите логи AVZ и RSIT.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
С удовольствием! НО смогу это сделать только в безопасном режиме.
Утренние логи делал с подстыкованным интернет кабелем.
 

Вложения

  • virusinfo_syscure.zip
    26.9 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    27.1 KB · Просмотры: 1
  • log.txt
    35.6 KB · Просмотры: 1
  • info.txt
    48.4 KB · Просмотры: 1

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Сейчас удалю защитное ПО и сделаю логи
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
смогу это сделать только в безопасном режиме
делайте. После удаления - логи.

Добавлено через 7 минут 55 секунд
Посмотрите, есть ли такой файл - C:\WINDOWS\system32\rrr.lnk
Если есть, аккуратно блокнотом его откройте и покажите содержимое.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Есть такой файл, относится к Reg Organizer (открывается меню редактора реестра. Используйте "rrr" для быстрого запуска из системы. Как это работает). Блокнотом не могу открыть (правая кнопка мыши - нет меню открыть с помощью). Могу открыть через WordPad - открывается "абракозябра".

Добавлено через 5 минут 51 секунду
Открыл через блокнот - тоже аброкозябра.

покажите содержимое
каким образом: скриншотом или файл выложить?
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
я о нем ничего не знаю, только что узнал :)
Надеюсь, после удаления всего защитного ПО, система сдохнет и я просто переустановлю ему Windows. :)
Удаление в обычном режиме не возможно (пытаюсь удалить через Ccleaner - жму удалить - нет никакой реакции).
Удаляю в безопасном режиме.

Добавлено через 2 минуты 8 секунд
точнее нажимаю Деинсталировать
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Этот Reg Organizer тоже пока удалите.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Это какое-то чюдо. После удаления защитного ПО - автоматом загрузился рабочий стол (explorer) :):D:sarcastic:
Ща проверю работоспособность интернета
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Хотел бы напомнить, как говорит пользователь "Всё установленное ПО работало не первый день".

:)Итак, при удалилось всё без проблем. После перезагрузки появлялся "Мастер нового оборудования", исчез после запуска утилиты удаления SuperAntiSpyware. Сеть работает, VPN-подключение выдавало ошибку "697 вроде. Типо пароль и логин не правильные", логин был правильный - ввел пароль и появился выход в интернет :)

Проверил HitmanPro - ничего не нашел. Почистил спец программами файлы и реестр.

Сделал все логи в нормальном режиме с подключенным интернетом. В Firefox при вводе сайта google.ru открылось вот это (см. рисунок).
Вроде все программы работают, мультимедиа тоже (картинки, музыка, видео).

Пройдусь пока сканерами, если что - ничего удалять не буду.
 

Вложения

  • virusinfo_syscure.zip
    15.5 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    15.6 KB · Просмотры: 1
  • log.txt
    39.3 KB · Просмотры: 2
  • info.txt
    47.2 KB · Просмотры: 1
  • hijackthis.log
    9.1 KB · Просмотры: 2
  • Открывается сайт.jpg
    Открывается сайт.jpg
    101.5 KB · Просмотры: 6
  • Открывается сайт.txt
    29 байт · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Проблем ни по вашему описанию, ни по логам не видно.

Ознакомьтесь со статьей Чистка системы после некорректного удаления антивируса, т.к. видны следы вашего антивирусного зоопарка.

Установите антивирус (он должен быть один и лучше бесплатный, чем ломанный). Если это не IS, то можно в комплекте с фаерволлом (если не устраивает дефолтный от Windows).

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

Добавлено через 1 минуту 6 секунд
+
Firefox попробуйте деисталлировать с зачисткой и установить по новой.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Спасибо за оказанную помощь, советы и проявленное терпение!
Проведу инструктаж по ИТ безопасности с пользователем ПК.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Если еще не переустановили FireFox, попробуйте это:

Почистите браузеры с помощью AVZ

Меню Файл - Мастер поиска и устранения проблем - Категория - Чистка системы, Степень опасности - Все проблемы. Отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

Лог SecurityCheck обязательно выложите.
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 31.03.2013 14:06:04
Program directory: C:\Documents and Settings\Администратор\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML - Error opening specified file: C:\Documents and Settings\Администратор\Local Settings\Temp\SecurityCheck\SCSettingsInet.xml
Ссылка на неопределенный объект ''trade''.
Диск C:\ ФС: NTFS Емкость: (55.7 Гб) Занято: (17.7 Гб) Свободно: (38 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 26.09.2012 08:52:13
-------------EndLog-------------------------------

Добавлено через 9 минут 28 секунд
Отключил фаервол

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 31.03.2013 14:16:20
Program directory: C:\Documents and Settings\Администратор\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=3.1
Диск C:\ ФС: NTFS Емкость: (55.7 Гб) Занято: (17.7 Гб) Свободно: (38 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 26.09.2012 08:52:13
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-02-13 22:32:05
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
FortiClient Антивирус
Антивирус обновлен
-------------Firewall_WMI-------------------------
FortiClient персональный брандмауэр
-------------AntiVirusFirewallInstall-------------
Cezurity Antivirus Scanner v.1.0.2104.30866
McAfee SiteAdvisor v.3.6.187
-------------OtherUtilities-----------------------
CCleaner v.4.00
McAfee SiteAdvisor v.3.6.187
Panda Cloud Cleaner v.1.0.42
-------------Java---------------------------------
Java 7 Update 17 v.7.0.170 [+]
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.6.602.180 [+]
Adobe Flash Player 11 Plugin v.11.6.602.180 [+]
Adobe Reader XI (11.0.02) - Russian v.11.0.02 [+]
-------------Browser------------------------------
Mozilla Firefox 19.0.2 (x86 ru) v.19.0.2 [+]
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.19.0.2.4814
-------------EndLog-------------------------------

Добавлено через 1 час 8 минут 4 секунды
Прошу извинить за долгий ответ.
Сканировал разными сканерами (долгий процесс), никто ничего не находит.
Переустановил Firefox, расширения Яндекса не работают, а пользовотель привык к ним, да мне и самому интересно стало (скрин 1). Искал ответ в интернете - без результативно.

Запустил HitmanPro - нашел подозрительный файл в System Volume Information, удалить не смог, т.к. триальный период давно истек. Скачал и запустил ZemanaAntiMalware, но она ничего не находит.

Полез в ручную удалять. Не удаляется (скрин 2), удалилось только в безопасном режиме и то не сразу. Кстати меню (где безопасные режимы, которое появляется при нажатии F8 во время перезагрузки) было вместо русских букв иероглифы - эту проблему я решил, удалил все System Volume Information на всех дисках. Но на диске С все-равно появляется папка с файлами (скрин 2), которою можно бесконечно удалять.

В Свойствах системы не нашел вкладку Восстановление системы - проблему решил (в реестре поменял параметр), восстановление было отключено на всех дисках.

Это я написал просто для ознакомления. Может встречались с подобными ситуациями? Что касается неработоспособности расширений в Firefox, я не знаю как это исправить, но мне интересна эта проблема.

И еще, из-за чего ПК был в таком состоянии?

Проявление зловредного на ПК видел своими глазами (открылся сайт при вводе google.ru), но ПОКА никто из сканеров не может этого найти.

Еще раз спасибо за Вашу работу!!! :)
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Забыл про рисунки
 

Вложения

  • рисунок 1.jpg
    рисунок 1.jpg
    53.7 KB · Просмотры: 12
  • рисунок 2.jpg
    рисунок 2.jpg
    75.1 KB · Просмотры: 12

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Можно увидеть комментарии специалистов на вот это
 

Вложения

  • хз1.jpg
    хз1.jpg
    29.8 KB · Просмотры: 11
  • хз2.jpg
    хз2.jpg
    29.3 KB · Просмотры: 8

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Я вам писал,
Установите антивирус (он должен быть один и лучше бесплатный, чем ломанный)

У вас же, судя по логу SecurityCheck:
FortiClient Антивирус
Cezurity Antivirus Scanner v.1.0.2104.30866
McAfee SiteAdvisor v.3.6.187
Panda Cloud Cleaner v.1.0.42

Также вы пишете про Hitman.

расширения Яндекса не работают
Расширения установлены по новой или подхвачены со старой установки?
 

notecho

Активный пользователь
Сообщения
50
Реакции
0
Баллы
306
Firefox попробуйте деисталлировать с зачисткой и установить по новой

Вы правильно писали. Только после ручного удаления в файловой системе и в реестре всего, что связано с Firefox, принесло плоды. Расширения яндекса заработали.

Проблему с папкой, постоянно возникающей в System Volume Information, решил, удалив ее Шредером файлов в Безопасном режиме.

У вас же, судя по логу SecurityCheck:
FortiClient Антивирус
Cezurity Antivirus Scanner v.1.0.2104.30866
McAfee SiteAdvisor v.3.6.187
Panda Cloud Cleaner v.1.0.42

Всё правильно, антивирус один (бесплатный, комплексный), а всё остальное сканеры и помощник Веб-защиты. Cezurity Antivirus Scanner я удалял, после сканирования (сейчас в ручную зачистил).

Проблем с ПК больше нет.

Только остался вопрос без ответа

из-за чего ПК был в таком состоянии?

Добавлено через 35 минут 50 секунд
Еще раз спасибо за помощь.

Можете закрывать тему!!?!

Добавлено через 1 час 32 минуты 59 секунд
https://www.virustotal.com/ru/file/4789bfca83dc924f95db2d987ae0eabc2209f7e4f692e97d7a80fe40da308bdc/analysis/1364831713/
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу