После загрузки пк появляется сообщение о ошибке експлорер.ехе

[andreas_01]

После закрытия сообщения об ошибки експлорера появляется сообщение об ошибке дрватсон но не всегда.Проблемы с выходом в сеть ,ну и в общем наблюдается некоторая тормознутость.

[Info_bot]

Уважаемый(ая) andreas_01, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\25.exe','');
 QuarantineFile('C:\WINDOWS\system32\22.exe','');
 QuarantineFile('C:\WINDOWS\system32\21.exe','');
 QuarantineFile('C:\WINDOWS\system32\16.exe','');
 QuarantineFile('C:\WINDOWS\system32\10.exe','');
 QuarantineFile('C:\WINDOWS\system32\04.exe','');
 QuarantineFile('C:\WINDOWS\system32\03.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cis2E.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
 DeleteFile('C:\WINDOWS\system32\03.exe');
 DeleteFile('C:\WINDOWS\system32\04.exe');
 DeleteFile('C:\WINDOWS\system32\10.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\21.exe');
 DeleteFile('C:\WINDOWS\system32\22.exe');
 DeleteFile('C:\WINDOWS\system32\25.exe');
 DeleteFile('C:\WINDOWS\system32\30.exe');
 DeleteFile('C:\WINDOWS\system32\31.exe');
 DeleteFile('C:\WINDOWS\system32\35.exe');
 DeleteFile('C:\WINDOWS\system32\36.exe');
 DeleteFile('C:\WINDOWS\system32\40.exe');
 DeleteFile('C:\WINDOWS\system32\43.exe');
 DeleteFile('C:\WINDOWS\system32\44.exe');
 DeleteFile('C:\WINDOWS\system32\46.exe');
 DeleteFile('C:\WINDOWS\system32\50.exe');
 DeleteFile('C:\WINDOWS\system32\56.exe');
 DeleteFile('C:\WINDOWS\system32\60.exe');
 DeleteFile('C:\WINDOWS\system32\61.exe');
 DeleteFile('C:\WINDOWS\system32\62.exe');
 DeleteFile('C:\WINDOWS\system32\63.exe');
 DeleteFile('C:\WINDOWS\system32\71.exe');
 DeleteFile('C:\WINDOWS\system32\72.exe');
 DeleteFile('C:\WINDOWS\system32\73.exe');
 DeleteFile('C:\WINDOWS\system32\75.exe');
 DeleteFile('C:\WINDOWS\system32\77.exe');
 DeleteFile('C:\WINDOWS\system32\81.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.

[andreas_01]

всё сделал как вы сказали,но в диспетчере задач иногда появляются 2 процеса с названием ххх причём оно иногда меняется на какоето другое на 1 секунду потом обратно становится ххх . авира премиум время от времени отлавливает какието дропперы и трояны

[Nikkollo]

В указанной последовательности:

Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie

Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\windows\jodrive32.exe');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\ctfmon.exe');
 TerminateProcessByName('c:\windows\system32\ac32.exe');
 TerminateProcessByName('c:\documents and settings\admin\application data\35.tmp');
 TerminateProcessByName('c:\documents and settings\admin\application data\34.tmp');
 QuarantineFile('C:\WINDOWS\system32\68.exe','');
 QuarantineFile('C:\WINDOWS\system32\67.exe','');
 QuarantineFile('C:\WINDOWS\system32\42.exe','');
 QuarantineFile('C:\WINDOWS\system32\21.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\    winfixer        c a  r        d      .cmd','');
 QuarantineFile('C:\WINDOWS\system32\ac32.exe','');
 QuarantineFile('C:\WINDOWS\system32\frapsvid.dll','');
 QuarantineFile('C:\WINDOWS\jodrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 QuarantineFile('c:\windows\rthdcpl.exe','');
 QuarantineFile('c:\windows\system32\pnkbstrb.exe','');
 QuarantineFile('d:\program files\networx\networx.exe','');
 QuarantineFile('c:\windows\jodrive32.exe','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\ctfmon.exe','');
 QuarantineFile('c:\windows\system32\ac32.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\35.tmp','');
 QuarantineFile('c:\documents and settings\admin\application data\34.tmp','');
 DeleteFile('c:\documents and settings\admin\application data\34.tmp');
 DeleteFile('c:\documents and settings\admin\application data\35.tmp');
 DeleteFile('c:\windows\system32\ac32.exe');
 DeleteFile('c:\docume~1\admin\locals~1\temp\ctfmon.exe');
 DeleteFile('c:\windows\jodrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 DeleteFile('C:\WINDOWS\jodrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ac32');
 DeleteFile('C:\WINDOWS\system32\ac32.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\    winfixer        c a  r        d      .cmd');
 DeleteFile('C:\WINDOWS\system32\21.exe');
 DeleteFile('C:\WINDOWS\system32\42.exe');
 DeleteFile('C:\WINDOWS\system32\67.exe');
 DeleteFile('C:\WINDOWS\system32\68.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.

[andreas_01]

Выполнил все обновления кроме квиктайм плеера.выполнил скрипт который вы дали.иногда в левом углу монитора на долю секунды появляется чёрное окошко вроде как косоль(или как там её)))

[миднайт]

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\87.exe','');
 QuarantineFile('C:\WINDOWS\system32\58.exe','');
 QuarantineFile('C:\WINDOWS\system32\52.exe','');
 QuarantineFile('C:\WINDOWS\system32\47.exe','');
 QuarantineFile('C:\WINDOWS\system32\40.exe','');
 QuarantineFile('C:\WINDOWS\system32\13.exe','');
 QuarantineFile('C:\WINDOWS\system32\04.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.exe','');
 DeleteFile('C:\WINDOWS\system32\01.exe');
 DeleteFile('C:\WINDOWS\system32\04.exe');
 DeleteFile('C:\WINDOWS\system32\13.exe');
 DeleteFile('C:\WINDOWS\system32\40.exe');
 DeleteFile('C:\WINDOWS\system32\47.exe');
 DeleteFile('C:\WINDOWS\system32\52.exe');
 DeleteFile('C:\WINDOWS\system32\58.exe');
 DeleteFile('C:\WINDOWS\system32\87.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите лог virusinfo_syscure.zip‎
+ Сделайте лог полного сканирования MBAM

[andreas_01]

Эта зараза помоему из интернета подкачивается.Когда сканил MBAM отключал авиру и после сканирования забыл включить так вот после того как вышел в сеть появился процес ххх (время от времени меняет название на BrouseIT (не точное название,просто не успел запомнить))и он чтото помоему качал из сети.

[Nikkollo]

Обновления все установили?

Удалите в МВАМ:

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> No action taken.

Зараженные папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\8f5ca6221d4cfe7b5b9bb8d984cc7381bd6f68b\acdseeqv10.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\4R96U730\325340703[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\WW212ODA\325340703[1].gif (Extension.Mismatch) -> No action taken.

c:\WINDOWS\system32\iehv.exe (PUP.HistoryTool) -> No action taken.
c:\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS\system32\Drive(C)\documents and settings\Admin\local settings\application data\thinstall\Cache\Stubs\8f5ca6221d4cfe7b5b9bb8d984cc7381bd6f68b\acdseeqv10.exe (Trojan.Backdoor) -> No action taken.

c:\WINDOWS\system32\Drive(C)\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> No action taken.
c:\WINDOWS\system32\Drive(C)\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS\system32\Drive(C)\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.

c:\documents and settings\Admin\application data\3B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\43.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\ndo32.exe (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Worm.AutoRun.Gen) -> No action taken.

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Pbrpre.exe','');
 QuarantineFile('Rstpmnswb.sys','');
 QuarantineFile('gusvc.sys','');
 BC_DeleteSvc('gusvc');
 BC_DeleteSvc('Rstpmnswb');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Pbrpre.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pbrpre');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Сделайте заново лог МВАМ и приложите в теме.

[andreas_01]

Карантин загрузил.Скрипты выполнил,логи прилагаю.Спасибо вам огромное за то что возитесь с такими как я)))
А можно узнать как хоть называется зараза живущая в моём компе?

[миднайт]

Удалите в mbam

Код:

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Config Setup (Trojan.Agent.MSGen) -> Value: Microsoft Config Setup -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\WINDOWS\system32\drivers\str.sys', 'MBAM: Rootkit.Agent');
DeleteFile('c:\WINDOWS\system32\drivers\str.sys');
ExecuteWizard('SCU',2,2,true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

----
c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe, C:\WINDOWS\system32\03.exe,... - Backdoor.Win32.Floder.efk

c:\documents and settings\admin\application data\35.tmp - Trojan.Win32.Jorik.Tedroo.ba

c:\docume~1\admin\locals~1\temp\ctfmon.exe - Trojan-Ransom.Win32.PornoAsset.bkk

C:\Documents and Settings\Admin\Application Data\Pbrpre.exe - Backdoor.Win32.Floder.egf

[andreas_01]

единственное что сделал не так ,это вот это дело c:\WINDOWS\system32\drivers\str.sys удалил в mbam (решил блин с умничать, а потом увидел что эта операция внесена в скрипт AVZ).Установил COMODO Firewall приложение систем просится в сеть пускать его или не надо?

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ctfmon.exe');
 BC_DeleteSvc('hlujiwujvexgnei');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.

[andreas_01]

Всё сделал как вы сказали

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SetAVZPMStatus(false);
end.

Больше подозрительного не увидел. Что с проблемой?

[andreas_01]

Скрипт выполнил.Помоему всё удачненько)проблем в данный момент не наблюдается.Обязательно выполню все рекомендации по безопасности .Спасибо Вам огромное!!!Сам бы я не справился.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 77
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\admin\\application data\\pbrpre.exe - Backdoor.Win32.Floder.egf ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )
  2. c:\\documents and settings\\admin\\application data\\35.tmp - Trojan.Win32.Jorik.Tedroo.ba ( DrWEB: Win32.HLLW.Autoruner.61996, BitDefender: Trojan.Generic.6732407, NOD32: Win32/SpamTool.Tedroo.AT trojan, AVAST4: Win32:Zbot-NOO [Trj] )
  3. c:\\docume~1\\admin\\locals~1\\temp\\ctfmon.exe - Trojan-Ransom.Win32.PornoAsset.bkk ( DrWEB: Trojan.DownLoader5.2577, BitDefender: Trojan.Generic.6731854, AVAST4: Win32:Malware-gen )
  4. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ winfixer c a r d .cmd - Backdoor.Win32.Floder.egf ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )
  5. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
  6. c:\\windows\\system32\\03.exe - Backdoor.Win32.Floder.egf ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.KDV.374656, AVAST4: Win32:Kolab-MX [Trj] )
  7. c:\\windows\\system32\\04.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
  8. c:\\windows\\system32\\10.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
  9. c:\\windows\\system32\\16.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
  10. c:\\windows\\system32\\21.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
  11. c:\\windows\\system32\\22.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )
  12. c:\\windows\\system32\\25.exe - Backdoor.Win32.Floder.efk ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.6717559, AVAST4: Win32:Kolab-MX [Trj] )