Перейти к содержанию

не загружается explorer.exe


Рекомендуемые сообщения

После загрузки Windows не загружается explorer.exe. В процессах не отображается.

В ручную не запускается - блокируется Ad-watch live сообщает об угрозе Trojan.Win32.Generic!bt.

AVZ не помог, сканирование не обнаружило вирусов. Восстановление explorer не помогло.

CureIt не обнаружил ничего.

Avast не обнаружил.

Ad-watch live обнаруживает Trojan.Win32.Generic!bt но не убивает.

SuperaAntiSpyware - находит Trojan.Agent.Gen вроде убивает но картина не меняется

SpyHunter 4 - находит Malware Generic указывает на заражение ApplicationUpdater.exe но для лечения требуется полная платная версия программы.

sfc /scannow - не помогло.

Помогите одолеть бяку...!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Swim, здравствуйте.

 

Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

 

Обновите базы AVZ ((Файл - Обновление баз) и переделайте логи AVZ по правилам

Ссылка на комментарий
Поделиться на другие сайты

Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

Begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\application updater\applicationupdater.exe');
SetServiceStart('Application Updater', 4);
StopService('Application Updater');
QuarantineFile('c:\program files\application updater\applicationupdater.exe','');
QuarantineFile('C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll','');
QuarantineFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe','');
QuarantineFile('C:\Program Files\IObit Toolbar\IE\4.4\iobitToolbarIE.dll','');
QuarantineFile('jurugx.sys','');
QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\UrlFilter.sys',''); 
QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\regfilter.sys',''); 
QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys',''); QuarantineFile('C:\Program Files\Anti Trojan Elite\ATEPMon.sys',''); 
QuarantineFile('C:\WINDOWS\system32\GameMon.des','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SmartDefragDriver.sys','');
QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\datastate.dll','');
QuarantineFile('c:\program files\iobit\advanced systemcare 4\pmonitor.exe','');
QuarantineFile('c:\program files\iobit\iobit malware fighter\imfsrv.exe','');
QuarantineFile('c:\program files\iobit\advanced systemcare 4\ascservice.exe','');
QuarantineFile('C:\Program Files\IObit\Protected Folder\PfShellExtension.dll','');
DeleteFile('c:\program files\application updater\applicationupdater.exe');
DeleteFile('C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll');
DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe');
DelBHO('DFDC8970-FD66-4385-B8C0-835A4AA1DA00');
DelBHO('8984B388-A5BB-4DF7-B274-77B879E179DB');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteService('Application Updater');
BC_ImportAll;  
ExecuteSysClean;
BC_QrFile('jurugx.sys');
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

+

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/7828/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"
O9 - Extra button: (no name) - DctMapping - (no file)

 

+

Проверьте эти файлы на virustotal

e:\install\диагностика\norton windoctor 2009\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE 
e:\install\диагностика\norton windoctor 2009\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe 
e:\Proram\Eror\erpsetup.exe 
e:\Proram\error repair professional\errorrepairprofessional.exe

Если заражение подтвердится, тогда удаляйте в MBAM.

 

удалите эти файлы в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

 

Зараженные модули в памяти:
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\ErrorRepairPro (Rogue.ErrorRepairProfessional) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Зараженные папки:
c:\documents and settings\Admin\application data\winxrar (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.
c:\program files\total commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
e:\install\диагностика\norton windoctor 2009\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE (Trojan.Backdoor) -> No action taken.
e:\install\диагностика\norton windoctor 2009\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe (Trojan.Backdoor) -> No action taken.
e:\Proram\Eror\erpsetup.exe (Rogue.ErrorRepairProfessional) -> No action taken.
e:\Proram\error repair professional\errorrepairprofessional.exe (Rogue.ErrorRepairProfessional) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sview (Trojan.Agent) -> No action taken.

 

+

Установите Internet Explorer 8 (даже если им не пользуетесь)

+

обновите Java до актуальной версии

+

обновите Adobe Reader до актуальной версии

 

 

Все это вам нужно? Деинсталлируйте то, что не используете.

lavasoft\ad-aware

iobit\advanced systemcare 4

iobit\iobit malware fighter

SpywareTerminator

SUPERAntiSpyware

spyhunter

Anti Trojan Elite

 

После всего выполните новые логи по правилам + отчет MBAM

 

Проблемы какие остались?

Изменено пользователем Tiare
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Quarantine.zip отправил, ответа еще не получил. Аваст отключить не получилось - пришлось убить, причем в ручную т.к. деинсталяция блокировалась.

Скрипт AVZ - сделал.

HijackThis - пофиксил.

Проверить файлы на Virustotal не получилось, выдавало сообщение, что файл слишком большой. Убил в ручную все папки полностью.

Произвести удаление через MBAM указанных зараженных файлов не получилось - он их не видит (по этому пункту выполнить не удалось).

Explorer 8 - обновил

Java - обновил

Adobe Reader - обновил

Пока проблема не решена, по прежнему explorer.exe не грузится.

Ссылка на комментарий
Поделиться на другие сайты

Swim, здравствуйте.

 

Эти папки вы удаляли самостоятельно?

e:\Proram\Eror

e:\Proram\error repair professional

 

Проверьте, есть ли у вас в системе папка c:\documents and settings\Admin\application data\winxrar? Если есть, удалите ее.

 

E:\Proram\Процесс\Process Lasso\processgovernor.exe – сами устанавливали? Используете?

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме

 

C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe
C:\Program Files\IObit Toolbar\IE\4.4\iobitToolbarIE.dll
C:\Program Files\Anti Trojan Elite\ATEPMon.sys
C:\WINDOWS\system32\GameMon.des   (или C:\WINDOWS\system32\GameMon.des.exe)
C:\WINDOWS\system32\Drivers\SmartDefragDriver.sys
C:\Program Files\IObit\IObit Malware Fighter\datastate.dll
c:\program files\iobit\iobit malware fighter\imfsrv.exe
C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\UrlFilter.sys
C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\regfilter.sys
C:\Program Files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys
c:\program files\iobit\advanced systemcare 4\pmonitor.exe
c:\program files\iobit\advanced systemcare 4\ascservice.exe
C:\Program Files\IObit\Protected Folder\PfShellExtension.dll

 

+

У вас в системе очень много лишних программ. Вы это все используете? Не следует перегружать систему таким количеством программ. Толку от них, как видите, особо нет, а вот проблемы могут быть серьезные.

 

На время лечения, деинсталлируете лишние программы.

lavasoft\ad-aware

iobit\advanced systemcare 4

iobit\iobit malware fighter

SpywareTerminator

SUPERAntiSpyware

spyhunter

Anti Trojan Elite

Guard.Mail.ru

Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

Begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe');
DelBHO('17FA5CD6-5737-45c2-B194-74C8A4A7F7E7');
DelBHO('0BDA0769-FD72-49F4-9266-E1FB004F4D8F');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
DeleteDirectory('C:\Program Files\Common Files\Spigot ');
DeleteFileMask('C:\Program Files\Common Files\Spigot ', '*.*', true);
DelAutorunByFileName('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe');
BC_ImportAll;  
ExecuteSysClean;
BC_DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

+

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"

 

 

После всего подготовьте новые логи по правилам раздела

 

Какие проблемы остались?

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

все сделал, по пунктам в файле "отчет1"

на данный момент все так же explorer.exe не грузится.

В папке C:\WINDOWS не наблюдается, есть только explorer.scf

есть ли смысл скопировать его с установочного диска?

(при работе в безопасном режиме - запускал с диспетчера задач, работало)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

отчет1.txt

Ссылка на комментарий
Поделиться на другие сайты

В папке C:\WINDOWS не наблюдается, есть только explorer.scf

есть ли смысл скопировать его с установочного диска?

Да, попробуйте.

 

Пуск->Настройки->Панель управления->Назначенные задания-> ……удалить данные задания

Ad-Aware Update (Weekly).job

ASC4_PerformanceMonitor.job

 

В автозагрузку сами ставили? Если нет - пофиксите в HijackThis

C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f

 

Проверьте систему этими утилитами, о результатах напишите

 

http://www.kaspersky.ru/support/faq/?qid=208639606

http://support.kaspersky.ru/viruses/solutions?qid=208636131

 

 

P.S. у вас в системе остались хвосты удаленных вами программ, проверьте, все ли папки удалили? Если ничего не найдете, завтра доудаляем скриптом

Ссылка на комментарий
Поделиться на другие сайты

скопировал explorer.exe - рабочий стол загрузился но потеряно много ярлыков. При работе с "Мой компьютер" на определенном этапе выскакивает окно в ДОС-формате.

Пуск->Настройки->Панель управления->Назначенные задания-> - выполнить не удалось, Панель управления не открывается (скрин приложил). В ручную через Total Commander тоже не получилось - блокируется.

 

В автозагрузку сами ставили? Если нет - пофиксите в HijackThis

в автозагрузку не ставил, в HijackThis не нашел указанные Вами ссылки

 

По утилитам

TDSSKiller - нашел подозрительный объек (скрин). Что делать с ним?

SalityKiller - здесь как я понял чисто.

в системе остались хвосты удаленных программ

... уф, уже запутался в этих удаляемых программах! какие "хвосты" искать?

post-21761-1307777040_thumb.jpg

post-21761-1307777052_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

TDSSKiller - нашел подозрительный объек (скрин). Что делать с ним?

ничего.

 

Проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

 

Проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить-sfc /scannow

 

Установите все обновления (может потребоваться активация).

Ссылка на комментарий
Поделиться на другие сайты

Проверьте системный раздел скандиском - выполнил.

Проверьте целостность системы - выполнил.

 

Установите все обновления (может потребоваться активация) - не выполнил. "Панель управления"по-прежнему не функциональна

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Eugene B.
      От Eugene B.
      Добрый день!

      По громкой работе кулера ЦП обнаружил проблему чрезмерной загрузке процессора в холостом режиме на рабочем столе. После открытия диспечера задач вирус прячется, и всё приходит в норму, но стоит закрыть диспечер через некоторое время всё повторяется.
      Удалось обнаружить виновный процесс через Remote Process Explorer (скрин во вложении).
      Провел проверки Kaspersky Virus Removal Tool; Dr.Web CureIt!., обнаружили несколько угроз, вылечили, но проблема не ушла.
      ПК в домашнем пользовании: фильмы, игры, никаких удаленных соединений.
      Логии AutoLogger во вложении.
       
      Буду благодарен за помощь!

      CollectionLog-2024.12.12-03.42.zip
    • Magerattor J.
      От Magerattor J.
      Сегодня после загрузки программы сама открывалась командная строка и пк стал сильно зависать. В диспетчере задач, при открытии, на секунду видна загрузка процессора под 80% и выше, после чего она спадает, но если долго бездействовать, то нагрузка вновь возрастет до 50+ процентов. С помощью доктора веба проверял, ничего не нашел, однако в самом диспетчере подозрительно много одних и тех же служб svhost waxp и др. Уже пытался откатить до последнего сохраненного образа, что не дало результата, ибо майнер снова открыл командную строку. Пытался переустановить виндовс, с последующими мучениями на драйвера с интернетом(судя по тому, что загрузка цп все еще идет при открытии диспетчера под 80%, то это не помогло). в безопасном режиме при открытии диспетчера никакой нагрузки в 80% не наблюдается.  

      CollectionLog-2024.09.29-21.18.zip
    • Tricky
      От Tricky
      У меня в диспетчере задач explorer.exe(Проводник) Сначало у меня на проводнике стояла картинка World of warships После удаления картинки с пк Explorer.exe стал полностью без иконки что делать
    • Crazardguy
      От Crazardguy
      Добрый день!
      Два дня назад при скачивании файла с Интернета обнаружил, что при запуске игры, которая прежде работала без проблем, появились подвисания длительностью в полсекунды с периодичностью раз в 1-2 секунды. В диспетчере задач при этом увидел большую загрузку ЦП и видеокарты, а в столбце "Ядро GPU" - название процессора с подписью " - copy".
      При проверке антивирусами только Dr.Web смог найти вредоносный файл, и после лечения несколько часов проблемы не возникало, но сейчас она вернулась. Повторная проверка антивирусом каждый раз сбивается и выдаёт ошибку

      Прошу помочь с данной проблемой
    • zeuslody
      От zeuslody
      Поймал майнер прячещийся под процессом explorer.exe . При открытом диспетчере задач останавливается. Скрин AMD Adrenaline (нагрузка 75%-90% ЦП) на рабочем столе.

      Температуры ЦП 
      1) при открытом ДЗ

      2) при закрытом ДЗ

       
×
×
  • Создать...