не загружается explorer.exe

6 июня, 2011

Swim, здравствуйте.

Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ ((Файл - Обновление баз) и переделайте логи AVZ по правилам

6 июня, 2011

Сделал...

Еще сканировал Mdam лог приложил, если это поможет прояснить картину

mbam_log_2011_06_06__21_39_07_.txt

6 июня, 2011

Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

Begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\application updater\applicationupdater.exe');
SetServiceStart('Application Updater', 4);
StopService('Application Updater');
QuarantineFile('c:\program files\application updater\applicationupdater.exe','');
QuarantineFile('C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll','');
QuarantineFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe','');
QuarantineFile('C:\Program Files\IObit Toolbar\IE\4.4\iobitToolbarIE.dll','');
QuarantineFile('jurugx.sys','');
QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\UrlFilter.sys',''); 
QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\regfilter.sys',''); 
QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys',''); QuarantineFile('C:\Program Files\Anti Trojan Elite\ATEPMon.sys',''); 
QuarantineFile('C:\WINDOWS\system32\GameMon.des','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SmartDefragDriver.sys','');
QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\datastate.dll','');
QuarantineFile('c:\program files\iobit\advanced systemcare 4\pmonitor.exe','');
QuarantineFile('c:\program files\iobit\iobit malware fighter\imfsrv.exe','');
QuarantineFile('c:\program files\iobit\advanced systemcare 4\ascservice.exe','');
QuarantineFile('C:\Program Files\IObit\Protected Folder\PfShellExtension.dll','');
DeleteFile('c:\program files\application updater\applicationupdater.exe');
DeleteFile('C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll');
DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe');
DelBHO('DFDC8970-FD66-4385-B8C0-835A4AA1DA00');
DelBHO('8984B388-A5BB-4DF7-B274-77B879E179DB');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteService('Application Updater');
BC_ImportAll;  
ExecuteSysClean;
BC_QrFile('jurugx.sys');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

+

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/7828/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"
O9 - Extra button: (no name) - DctMapping - (no file)

+

Проверьте эти файлы на virustotal

e:\install\диагностика\norton windoctor 2009\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE 
e:\install\диагностика\norton windoctor 2009\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe 
e:\Proram\Eror\erpsetup.exe 
e:\Proram\error repair professional\errorrepairprofessional.exe

Если заражение подтвердится, тогда удаляйте в MBAM.

удалите эти файлы в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

Зараженные модули в памяти:
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\ErrorRepairPro (Rogue.ErrorRepairProfessional) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Зараженные папки:
c:\documents and settings\Admin\application data\winxrar (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.
c:\program files\total commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
e:\install\диагностика\norton windoctor 2009\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE (Trojan.Backdoor) -> No action taken.
e:\install\диагностика\norton windoctor 2009\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe (Trojan.Backdoor) -> No action taken.
e:\Proram\Eror\erpsetup.exe (Rogue.ErrorRepairProfessional) -> No action taken.
e:\Proram\error repair professional\errorrepairprofessional.exe (Rogue.ErrorRepairProfessional) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\winxrar\sview (Trojan.Agent) -> No action taken.

+

Установите Internet Explorer 8 (даже если им не пользуетесь)

+

обновите Java до актуальной версии

+

обновите Adobe Reader до актуальной версии

Все это вам нужно? Деинсталлируйте то, что не используете.

lavasoft\ad-aware
iobit\advanced systemcare 4

iobit\iobit malware fighter

SpywareTerminator

SUPERAntiSpyware

spyhunter

Anti Trojan Elite

После всего выполните новые логи по правилам + отчет MBAM

Проблемы какие остались?

Изменено 7 июня, 2011 пользователем Tiare

8 июня, 2011

Quarantine.zip отправил, ответа еще не получил. Аваст отключить не получилось - пришлось убить, причем в ручную т.к. деинсталяция блокировалась.

Скрипт AVZ - сделал.

HijackThis - пофиксил.

Проверить файлы на Virustotal не получилось, выдавало сообщение, что файл слишком большой. Убил в ручную все папки полностью.

Произвести удаление через MBAM указанных зараженных файлов не получилось - он их не видит (по этому пункту выполнить не удалось).

Explorer 8 - обновил

Java - обновил

Adobe Reader - обновил

Пока проблема не решена, по прежнему explorer.exe не грузится.

8 июня, 2011

Swim,

После всего выполните новые логи по правилам + отчет MBAM

Насчет MBAM, вы запускали полную проверку? Попробуйте еще раз.

9 июня, 2011

ответа все еще нету!

Логи сделал - прилагаю.

mbam_log_2011_06_09__21_35_39_.txt

10 июня, 2011

Swim, здравствуйте.

Эти папки вы удаляли самостоятельно?

e:\Proram\Eror
e:\Proram\error repair professional

Проверьте, есть ли у вас в системе папка c:\documents and settings\Admin\application data\winxrar? Если есть, удалите ее.

E:\Proram\Процесс\Process Lasso\processgovernor.exe – сами устанавливали? Используете?

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме

C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe
C:\Program Files\IObit Toolbar\IE\4.4\iobitToolbarIE.dll
C:\Program Files\Anti Trojan Elite\ATEPMon.sys
C:\WINDOWS\system32\GameMon.des   (или C:\WINDOWS\system32\GameMon.des.exe)
C:\WINDOWS\system32\Drivers\SmartDefragDriver.sys
C:\Program Files\IObit\IObit Malware Fighter\datastate.dll
c:\program files\iobit\iobit malware fighter\imfsrv.exe
C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\UrlFilter.sys
C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\regfilter.sys
C:\Program Files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys
c:\program files\iobit\advanced systemcare 4\pmonitor.exe
c:\program files\iobit\advanced systemcare 4\ascservice.exe
C:\Program Files\IObit\Protected Folder\PfShellExtension.dll

+

У вас в системе очень много лишних программ. Вы это все используете? Не следует перегружать систему таким количеством программ. Толку от них, как видите, особо нет, а вот проблемы могут быть серьезные.

На время лечения, деинсталлируете лишние программы.

lavasoft\ad-aware
iobit\advanced systemcare 4

iobit\iobit malware fighter

SpywareTerminator

SUPERAntiSpyware

spyhunter

Anti Trojan Elite

Guard.Mail.ru

Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

Begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe');
DelBHO('17FA5CD6-5737-45c2-B194-74C8A4A7F7E7');
DelBHO('0BDA0769-FD72-49F4-9266-E1FB004F4D8F');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
DeleteDirectory('C:\Program Files\Common Files\Spigot ');
DeleteFileMask('C:\Program Files\Common Files\Spigot ', '*.*', true);
DelAutorunByFileName('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe');
BC_ImportAll;  
ExecuteSysClean;
BC_DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

+

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"

После всего подготовьте новые логи по правилам раздела

Какие проблемы остались?

Изменено 10 июня, 2011 пользователем Tiare

10 июня, 2011

все сделал, по пунктам в файле "отчет1"

на данный момент все так же explorer.exe не грузится.

В папке C:\WINDOWS не наблюдается, есть только explorer.scf

есть ли смысл скопировать его с установочного диска?

(при работе в безопасном режиме - запускал с диспетчера задач, работало)