Просмотр полной версии : Не запускается explorer.exe
После чистки вируса доктором вебом не грузится рабочий стол
ссылка на вирус: http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-082311-5907-99&tabid=2
Указанные пути проверил, они чисты, за исключением HKEY_CLASSES_ROOT\CLSID\*, который почистил позже.
Сам вирус и пара его файлов, которых он создал приложены к сообщению
Система: Win2003 Server
Где написано , что вирусы приатачивать надо к сообщению ?
AndreyKa
13.01.2007, 18:36
Запустить Диспетчер задач (Ctrl+Shift+Esc)
Запустить AVZ (Приложения-Новая задача)
В AVZ меню файл Восстановление системы - в строчках
5. Восстановление настроек рабочего стола.
9. Удаление отладчиков системных процессов.
поставьте галочки. Нажмите кнопку Выполнить ...
Перезагрузите компьютер.
После перезагрузки выполните Правила (http://virusinfo.info/showthread.php?t=1235).
Вот отчет перерд началом выполнения 5 и 9 пункта (сформировал до вашего поста)
Логи после восстановления. explorer по прежнему сам не стартует:?
Рискну...
AVZ - Файл - Выполнить скрипт:
begin
SetAVZGuardStatus(True);
QuarantineFile('c:\temp\tqcafsbz.dll','');
QuarantineFile('c:\temp\thbfouqj.dll','');
QuarantineFile('c:\temp\taljdsah.dll','');
QuarantineFile('c:\temp\laquimsj.dll','');
QuarantineFile('c:\temp\baptxyyq.dll','');
QuarantineFile('c:\temp\annqpgzd.dll','');
QuarantineFile('c:\temp\oubgcbtv.dll','');
QuarantineFile('c:\temp\imtveygx.dll','');
QuarantineFile('c:\temp\bwyfguoh.dll','');
QuarantineFile('c:\temp\jpbnddgd.dll','');
QuarantineFile('c:\temp\lhfdorbm.dll','');
QuarantineFile('c:\temp\zstzxuqn.dll','');
QuarantineFile('c:\temp\qlvnpnry.dll','');
QuarantineFile('c:\temp\anteosti.dll','');
QuarantineFile('c:\temp\ouncrcli.dll','');
QuarantineFile('c:\temp\zlkokpck.dll','');
QuarantineFile('c:\temp\cknsoaeo.dll','');
QuarantineFile('c:\temp\snhriokt.dll','');
QuarantineFile('c:\temp\qepvxbwj.dll','');
QuarantineFile('c:\temp\rbnfbzab.dll','');
QuarantineFile('c:\temp\ppxtsadd.dll','');
QuarantineFile('c:\temp\xmgwkyml.dll','');
QuarantineFile('c:\temp\dgqfiydx.dll','');
QuarantineFile('c:\temp\ilekdari.dll','');
QuarantineFile('c:\temp\naexnbvo.dll','');
QuarantineFile('c:\temp\shelbfux.dll','');
QuarantineFile('c:\temp\gphptlzz.dll','');
QuarantineFile('c:\temp\uaijpoac.dll','');
QuarantineFile('c:\temp\msfgchyz.dll','');
QuarantineFile('c:\temp\rbspkjnk.dll','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\csdbvcmn.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\ggwznzft.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\gtbvcjtx.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\hxfmrzpp.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\jlztonks.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\juitchpt.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\mflhkwdy.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\pbuajhhz.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\ptnvjkns.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\pugiquvy.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\slokixiy.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\tyrvnlaw.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\uhjuagik.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\vexdfodj.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\wipwexsf.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\wnvhlclf.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\yfeaagfi.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\yxpsbghe.exe','');
QuarantineFile('C:\Program Files\DrWeb\infected.!!!\hqxmayzd.dll','');
DeleteFile('C:\Program Files\BPFTP Server\manual\csdbvcmn.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\ggwznzft.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\gtbvcjtx.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\hxfmrzpp.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\jlztonks.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\juitchpt.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\mflhkwdy.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\pbuajhhz.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\ptnvjkns.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\pugiquvy.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\slokixiy.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\tyrvnlaw.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\uhjuagik.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\vexdfodj.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\wipwexsf.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\wnvhlclf.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\yfeaagfi.exe');
DeleteFile('C:\Program Files\BPFTP Server\manual\yxpsbghe.exe');
DeleteFile('c:\temp\rbspkjnk.dll');
DeleteFile('c:\temp\msfgchyz.dll');
DeleteFile('c:\temp\uaijpoac.dll');
DeleteFile('c:\temp\gphptlzz.dll');
DeleteFile('c:\temp\shelbfux.dll');
DeleteFile('c:\temp\naexnbvo.dll');
DeleteFile('c:\temp\ilekdari.dll');
DeleteFile('c:\temp\dgqfiydx.dll');
DeleteFile('c:\temp\xmgwkyml.dll');
DeleteFile('c:\temp\ppxtsadd.dll');
DeleteFile('c:\temp\rbnfbzab.dll');
DeleteFile('c:\temp\qepvxbwj.dll');
DeleteFile('c:\temp\snhriokt.dll');
DeleteFile('c:\temp\cknsoaeo.dll');
DeleteFile('c:\temp\zlkokpck.dll');
DeleteFile('c:\temp\ouncrcli.dll');
DeleteFile('c:\temp\anteosti.dll');
DeleteFile('c:\temp\qlvnpnry.dll');
DeleteFile('c:\temp\zstzxuqn.dll');
DeleteFile('c:\temp\lhfdorbm.dll');
DeleteFile('c:\temp\bwyfguoh.dll');
DeleteFile('c:\temp\imtveygx.dll');
DeleteFile('c:\temp\oubgcbtv.dll');
DeleteFile('c:\temp\annqpgzd.dll');
DeleteFile('c:\temp\baptxyyq.dll');
DeleteFile('c:\temp\laquimsj.dll');
DeleteFile('c:\temp\taljdsah.dll');
DeleteFile('c:\temp\thbfouqj.dll');
DeleteFile('c:\temp\tqcafsbz.dll');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки пришлите карантин в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: http://virusinfo.info/showthread.php?t=7479
virusinfo_cure.zip не нужен тут, удалите от греха подальше .
virusinfo_syscheck.zip. пошёл за пивом ? ;D
ждём возвращения :) а пока вот этот скрипт выполнить и прислать по правилам :
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\dimsntfy.dll', '');
QuarantineFile('C:\Program Files\RunModule\TrayModule.exe','');
QuarantineFile('C:\Program Files\ExplorerXP\ExplorerXP.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\csdbvcmn.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\ggwznzft.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\gtbvcjtx.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\hxfmrzpp.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\jlztonks.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\juitchpt.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\mflhkwdy.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\pbuajhhz.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\ptnvjkns.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\pugiquvy.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\slokixiy.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\tyrvnlaw.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\uhjuagik.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\vexdfodj.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\wipwexsf.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\wnvhlclf.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\yfeaagfi.exe','');
QuarantineFile('C:\Program Files\BPFTP Server\manual\yxpsbghe.exe','');
QuarantineFile('C:\Program Files\DrWeb\infected.!!!\hqxmayzd.dll','');
QuarantineFile('c:\windows\system32\r_server.exe', '');
QuarantineFile('c:\temp\annqpgzd.dll','');
QuarantineFile('c:\temp\oubgcbtv.dll','');
QuarantineFile('c:\temp\imtveygx.dll','');
QuarantineFile('c:\temp\bwyfguoh.dll','');
QuarantineFile('c:\temp\jpbnddgd.dll','');
QuarantineFile('c:\temp\lhfdorbm.dll','');
QuarantineFile('c:\temp\zstzxuqn.dll','');
QuarantineFile('c:\temp\qlvnpnry.dll','');
QuarantineFile('c:\temp\anteosti.dll','');
QuarantineFile('c:\temp\ouncrcli.dll','');
QuarantineFile('c:\temp\zlkokpck.dll','');
QuarantineFile('c:\temp\cknsoaeo.dll','');
QuarantineFile('c:\temp\snhriokt.dll','');
QuarantineFile('c:\temp\qepvxbwj.dll','');
QuarantineFile('c:\temp\rbnfbzab.dll','');
QuarantineFile('c:\temp\ppxtsadd.dll','');
QuarantineFile('c:\temp\xmgwkyml.dll','');
QuarantineFile('c:\temp\dgqfiydx.dll','');
QuarantineFile('c:\temp\ilekdari.dll','');
QuarantineFile('c:\temp\naexnbvo.dll','');
QuarantineFile('c:\temp\shelbfux.dll','');
QuarantineFile('c:\temp\gphptlzz.dll','');
QuarantineFile('c:\temp\uaijpoac.dll','');
QuarantineFile('c:\temp\msfgchyz.dll','');
QuarantineFile('c:\temp\rbspkjnk.dll','');
QuarantineFile('hticons.dll','');
QuarantineFile('c:\temp\tqcafsbz.dll','');
QuarantineFile('c:\temp\baptxyyq.dll','');
QuarantineFile('c:\temp\laquimsj.dll','');
QuarantineFile('c:\temp\taljdsah.dll','');
QuarantineFile('c:\temp\thbfouqj.dll','');
RebootWindows(true);
end.
pig опередил :) я ещё парочку подозрительных добавил ;), мой скрипт делает только карантин . а почему 2 сервиса от aпачи ?
После перезагрузки пришлите карантин в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: http://virusinfo.info/showthread.php?t=7479
А в карантине пусто
Положительная динамика есть? Или ничего не изменилось?
pig опередил :) я ещё парочку подозрительных добавил ;), мой скрипт делает только карантин . а почему 2 сервиса от aпачи ?
- после твоего скрипта в карантине 3 файла (отослал)
- апаче с модулем php запускает 2 сервиса.
Динамика кажется, мне, кроется в том что вирус как то подпортил реестр и explorer не грузится
А воостановление системы в WIN2003 всетаки можно отключить путем установки отселя:
Instructions are at the Windows Server 2003 to Workstation Guide :-)
http://www.msfn.org/win2k3/
Specific page:
http://www.msfn.org/win2k3/sysrestore.htm
В общем, система грузится без ехпрорера... нормально вроде...
Скучно без explorera :'-( ни автозапуск, ни окна, ни проводник (кроме фара) не пашут
Давайте новые логи, будем смотреть оставшеся.
Да, попробуйте Фаром убрать всё с рабочего стола. Переместите в какую-нибудь папку. Проводник легко может упасть при попытке отображения какого-нибудь кривого файла.
CyberHelper
22.02.2009, 01:33
Статистика проведенного лечения:
Получено карантинов: 1
Обработано файлов: 3
В ходе лечения вредоносные программы в карантинах не обнаружены
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot