-
Junior Member
- Вес репутации
- 50
Вылетает explorer.exe
Добрый день!
ОС: Windows 7 Максимальная x32
Проблема: По непонятной причине стал вылетать explorer.exe, только в тот момент, когда пытаюсь открыть в библиотеке раздел "Изображения". После вылета процесс перезапускается.
Так же не запускается служба "Журнал событий Windows" возникает ошибка 4201.
Проверка на вирусы результатов не дала
Вложение 407652Вложение 407653Вложение 407654
Дополнение:
1. Если запускать C:\Users\111\Pictures то explorer не вылетает
2. Попробовал подсунуть explorer.exe с другой машины, но увы проблема остается
Последний раз редактировалось neonox; 07.03.2013 в 20:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) neonox, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
C:\Windows\system32\explorer\explorer.exe - что за файл?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
thyrex
C:\Windows\system32\explorer\explorer.exe - что за файл?
Хороший вопрос. В папке обычный explorer.exe, который свежескаченный CureIt никак не детектирует. Вирустотал тоже ничего подозрительного не нашел https://www.virustotal.com/ru/file/6...48c6/analysis/ В реестре параметр Shell прописан explorer.exe. Удалить эту папку?
Попробовал запустить файл, судя по всему он 64 битный. Ноут не мой, возможно до этого тоже пытались подсунуть explorer.exe, но ошиблись папкой
-
Обычный explorer.exe находится в папке Windows
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
thyrex
Обычный explorer.exe находится в папке Windows
Удалил папку, но результат остался прежний.
- - - Добавлено - - -
Вот код ошибки в журнале
Код:
Имя журнала: Application
Источник: Windows Error Reporting
Дата: 08.03.2013 9:05:11
Код события: 1001
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: 111-ПК
Описание:
Контейнер ошибки 2811740849, тип 1
Имя события: APPCRASH
Ответ: Нет данных
Идентификатор CAB: 0
Сигнатура проблемы:
P1: Explorer.EXE
P2: 6.1.7601.17567
P3: 4d6727a7
P4: StackHash_4ae8
P5: 6.1.7601.17725
P6: 4ec49b60
P7: c0000374
P8: 000c380b
P9:
P10:
Вложенные файлы:
C:\Users\111\AppData\Local\Temp\WERC0FD.tmp.WERInternalMetadata.xml
Эти файлы можно найти здесь:
C:\Users\111\AppData\Local\Microsoft\Windows\WER\ReportArchive\AppCrash_Explorer.EXE_5b824fc06449cc7515d8caf4eeab8e98fe962b9f_151de0eb
Символ анализа:
Повторный поиск решения: 0
Идентификатор отчета: 1ca1b6de-87b6-11e2-b02f-14dae921062e
Состояние отчета: 0
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Windows Error Reporting" />
<EventID Qualifiers="0">1001</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-03-08T06:05:11.000000000Z" />
<EventRecordID>13484</EventRecordID>
<Channel>Application</Channel>
<Computer>111-ПК</Computer>
<Security />
</System>
<EventData>
<Data>2811740849</Data>
<Data>1</Data>
<Data>APPCRASH</Data>
<Data>Нет данных</Data>
<Data>0</Data>
<Data>Explorer.EXE</Data>
<Data>6.1.7601.17567</Data>
<Data>4d6727a7</Data>
<Data>StackHash_4ae8</Data>
<Data>6.1.7601.17725</Data>
<Data>4ec49b60</Data>
<Data>c0000374</Data>
<Data>000c380b</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
C:\Users\111\AppData\Local\Temp\WERC0FD.tmp.WERInternalMetadata.xml</Data>
<Data>C:\Users\111\AppData\Local\Microsoft\Windows\WER\ReportArchive\AppCrash_Explorer.EXE_5b824fc06449cc7515d8caf4eeab8e98fe962b9f_151de0eb</Data>
<Data>
</Data>
<Data>0</Data>
<Data>1ca1b6de-87b6-11e2-b02f-14dae921062e</Data>
<Data>0</Data>
</EventData>
</Event>
-
-
-
Junior Member
- Вес репутации
- 50
Очень интересно, C:\Windows\system32\explorer\explorer.exe опять появился
Вложение 407827
-
Удалите в МВАМ только указанные ниже записи
Код:
C:\Windows\System32\explorer\explorer.exe (Backdoor.Bifrose) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Удалил, увы, проблема остается(
-
-
-
Junior Member
- Вес репутации
- 50
-
-
-
Junior Member
- Вес репутации
- 50
-
- Сделайте логи RSIT.
смените пароли, по окончанию лечения смените ещё раз.
-
-
Junior Member
- Вес репутации
- 50
-
пожалуйста сделайте скриншот с вкладки автозагрузка.
+ Сделайте снова лог сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 50
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S13080106');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S14617366');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S16412165');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S195105105');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S1966666');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S283899');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S32144118');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S5050112');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S5647106');
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
- Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
- Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
- Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
- Введите sfc /scannow и нажмите Энтер.
- Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
- После того как закончится проверка в командной строке введите команду:
Код:
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
- После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.
отпишитесь, что с проблемой ?
- - - Добавлено - - -
то что нашёл MBAM вам знакомо ? если нет проверьте на https://www.virustotal.com/
-
-
Junior Member
- Вес репутации
- 50
Если вставлю не диск, а смонтирую образ в ultra ISO, пойдет?
Да, что обнаружил МВАМ, знакомо, это точно не зловреды.