Перейти к содержанию
Правила раздела

Два explorer.exe в ДЗ

1ceman

Автор 1ceman
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

1ceman

1ceman

Опубликовано
Опубликовано

Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)

Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding

Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).

Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.

PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .

Спасибо.

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

1ceman

1ceman

Опубликовано
  • Автор
Опубликовано (изменено)

Доброго времени суток. Смотрю тут обсуждалась тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)

Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding

Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).

Помогите поймать этого червя, сомневаюсь, что microsoft прислал такое KB, иначе проблема имела бы массовый характер.

Спасибо.

CollectionLog-2025.11.23-22.32.zip

Изменено пользователем 1ceman
  • Mark D. Pearlstone изменил название на Два explorer.exe в ДЗ
safety

safety

Опубликовано
Опубликовано

Сделайте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

  • Спасибо (+1) 1
1ceman

1ceman

Опубликовано
  • Автор
Опубликовано
11 часов назад, safety сказал:

Сделайте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Спасибо за помощь, но все оказалось немного проще. С помощью поисковика Everything в служебной папке c:\Windows\WinSxS\ нашел 6 explorer.exe. Через TakeOwnerShip заимел их правами и все удалил. Reboot и вопрос решен.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Андрей Востоков
      [РЕШЕНО] Помогите удалить майнер
      Автор Андрей Востоков
      Добрый Вечер! Не получается удалить майнер, после проверки через Malwarebytes программа удаляет майнер, после чего тот устанавливается снова и так каждые 5-10 минут и после перезапуска системы. Отчет по логам и отчет Malwarebytes прилагается 
      CollectionLog-2026.02.11-16.12.zip Malwarebytes Отчет о проверке 2026-02-11 111923.txt
    • Onkyes
      Словил вирус или Trojan BitCoinMiner
      Автор Onkyes
      Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум
      CollectionLog-2026.01.27-19.55.zip
    • Iskrinkagame
      [РЕШЕНО] Помогите с удалением Trojan BitCoinMiner.
      Автор Iskrinkagame
      Здравствуйте. Где-то умудрилась подхватить этот вирус. Заметила нагрузку системы в покое. Просканировала Malwarebytes. Нашёл, поместил в карантин. Из карантина удалила, но через пару секунд снова падают в карантин 2 файла с трояном. И так до бесконечности.
       
       

    • Nickz1337
      [РЕШЕНО] Неизвестный вирус
      Автор Nickz1337
      Доброе утро! Поймал очень хитрый вирус-майнер на свой ноутбук, который блокирует все антивирусное ПО(cureit! например, не дает нажать кнопку продолжить) и так же не дает ничего скачать(при поиске любого АВ выкидывает на некий гугловский шлюз, который не пускает на сайт). Безопасный пуск не работает, проблема сохраняется. Попробовал создать образ cureit USB, и тут так же столкнулся с проблемой - BIOS не определяет флешку как USB, зато определяет как HDD, и даже если попытаться отключить основной накопитель, чтобы запустится с нее, BIOS выдает ошибку Boot failed.
      При этом вирус как я понимаю дает пользоваться портами без проблем. 
      Прошу помощи, никаких логов у меня нет, промучился всю ночь перед работой, как можно обойти это?
       
      Добавлю, что нашел тему на форуме тут, очень похоже на мою ситуацию, хотя работает немного иначе.
       
      Сработает ли способ с этого решения, если запустить с флешки exe антивирусника?
       
×
×
  • Создать...