Показано с 1 по 18 из 18.

Постоянный вылет explorer.exe и svchost.exe в windows 7 [not-a-virus:RiskTool.Win32.HideExec.ai ] (заявка № 142562)

  1. #1
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    30
    Вес репутации
    21

    Постоянный вылет explorer.exe и svchost.exe в windows 7 [not-a-virus:RiskTool.Win32.HideExec.ai ]

    Постоянный вылет explorer.exe в windows 7

    Есть вариант, что началось после некорректного выключения компа, типа повреждение профиля пользователя. Создание нового профиля не помогло. Есть подозрения на вирусы- каспер стоял, но лицензия закончилась.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) AntonVA, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,236
    Вес репутации
    1022
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    1) Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','Carberp');
     DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','32');
    if MessageDlg('Рекомендуется отключить автозапуск со всех съемных носителей,нажмите "ОК" что бы отключить и "НЕТ" что бы отказаться ?', mtInformation, mbYes+mbNo, 0) = 6 then
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun','221');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    2) Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    3) Сделайте новые логи AVZ

    4) Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)

    5) Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)

    6)
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код:
      tdsskiller.exe -silent -qmbr -qboot
    3. Запустите файл fix.bat;
    4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    5. Заархивируйте эту папку в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    6. Запустите файл TDSSKiller.exe;
    7. Нажмите кнопку "Начать проверку";
    8. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    13. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

    7) По окончанию лечения смените все пароли!

    TeamViewer устанавливали сами?
    Последний раз редактировалось mike 1; 25.07.2013 в 17:46.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. mike 1 получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    30
    Вес репутации
    21
    Каспер находит троян эвристикой, но похоже, справится с ним не может...

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

    - Сделайте лог полного сканирования МВАМ.

  8. regist получил(а) благодарность за это сообщение от


  9. #6
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    30
    Вес репутации
    21
    Результат проверки: http://virusinfo.info/virusdetector/...2BD4C5155C75D0
    Сканирование еще в процессе.

  10. #7
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    30
    Вес репутации
    21
    Результат анализа: _http://virusinfo.info/virusdetector/report.php?md5=83B5AD6DDC2FA7A7942BD4C5155C75D0
    Результат сканирования:
    Вложения Вложения

  11. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от AntonVA Посмотреть сообщение
    Каспер находит троян эвристикой
    Заархивируйте этот файл в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

  12. regist получил(а) благодарность за это сообщение от


  13. #9
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    30
    Вес репутации
    21
    Цитата Сообщение от regist Посмотреть сообщение
    Заархивируйте этот файл в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    отправил

    - - - Добавлено - - -

    Решение возможно? Время поджимает. Похоже, придется систему переустанавливать. Этого делать ой как не хочется- куча софта стоит.

    - - - Добавлено - - -

    Странные вещи происходят в папке Temp профиля пользователя. Она постоянно наполняется файлами *.tmp причем даты изменения 2010-2012 года. объем приличный- 200 мегабайт. Уже несколько раз выносил я их...

    - - - Добавлено - - -

    Цитата Сообщение от mike 1 Посмотреть сообщение
    Здравствуйте!

    TeamViewer устанавливали сами?
    ХМ, только увидел ваш пост. Похоже, модератор только сейчас его проверил.
    На 8 вопрос ответ- да.

    - - - Добавлено - - -

    Новые логи. MBAM в процессе...
    Вложения Вложения

  14. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Сделайте полный образ автозапуска uVS

    - - - Добавлено - - -

    Цитата Сообщение от AntonVA Посмотреть сообщение
    Решение возможно? Время поджимает.
    возможно, но имейте терпение. Кроме вас есть и другие пользователи + свои личные дела у людей, которые тут помогают.

  15. #11
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    30
    Вес репутации
    21
    Я не подгоняю. Просто, интересно... Сейчас уже работаю на то, что бы помочь с опознанием зловреда. )))
    Вложения Вложения

  16. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от AntonVA Посмотреть сообщение
    что бы помочь с опознанием зловреда. )))
    а что там его опознавать ? каспер его детектит не эвристикой, вполне конкретный детект not-a-virus:RiskTool.Win32.HideExec.ai. У вас базы антивируса свежие ? А лог чуть позже посмотрю.

  17. regist получил(а) благодарность за это сообщение от


  18. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,236
    Вес репутации
    1022
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','');
     QuarantineFile('C:\Users\user\AppData\Local\Temp\3387.tmp.exe','');
     QuarantineFile('C:\ProgramData\yRapVSfUGlIAShmZy621Qw.dat','');
     QuarantineFileF('C:\ProgramData\IBank', '*', true, ' ', 0, 0);
     DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','32');
     DeleteFile('C:\Users\user\AppData\Local\Temp\3387.tmp.exe','32');
     DeleteFile('C:\ProgramData\yRapVSfUGlIAShmZy621Qw.dat','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','MicrosoftUpdate');
     DeleteFileMask('C:\ProgramData\IBank', '*', true, ' ');
     DeleteDirectory('C:\ProgramData\IBank');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи AVZ

    Сделайте новые логи RSIT

    Сделайте лог TDSSKiller, который я просил сделать в 3 сообщении.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  19. #14
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    30
    Вес репутации
    21
    Цитата Сообщение от regist Посмотреть сообщение
    а что там его опознавать ? каспер его детектит не эвристикой, вполне конкретный детект not-a-virus:RiskTool.Win32.HideExec.ai. У вас базы антивируса свежие ? А лог сейчас посмотрю.
    Хм. Странно. Почему-то он вначале говорит о эвристике, а потом уже конкретный детект указывает, а я этого не досмотрел в отчете. Только сейчас увидел. Тогда, судя по всему, имеет место быть хитрый глюк винды. Я с этого и начинал, все найденные способы восстановления перепробовал.

    - - - Добавлено - - -

    Спасибо всем. Буду переустанавливать систему таки... Если что, образ с нее снял.

  20. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Рекомендация в сообщении над Вашим, не торопитесь с переустановкой

    - - - Добавлено - - -

    Рекомендация в сообщении над Вашим, не торопитесь с переустановкой
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  21. #16
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    30
    Вес репутации
    21
    Цитата Сообщение от thyrex Посмотреть сообщение
    Рекомендация в сообщении над Вашим, не торопитесь с переустановкой
    Пришлось таки переставлять- на компе работать нужно было, работа стояла.
    Вы бы для студентов отключили премодерацию- а то второй раз уже получаю от него рекомендации с запозданием.

    Остается открытым вопрос- это был взлом компа? Что-то увести пытались? Впрочем, там вайфай был открытым. Уже все перенастроил.

  22. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,236
    Вес репутации
    1022
    Цитата Сообщение от AntonVA Посмотреть сообщение
    Остается открытым вопрос- это был взлом компа? Что-то увести пытались? Впрочем, там вайфай был открытым. Уже все перенастроил.
    У вас был Carberp (http://www.securelist.com/ru/descriptions/29898794/) его основная задача воровать пароли от интернет кошельков. Смените все пароли
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  23. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,526
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 59
    • В ходе лечения обнаружены вредоносные программы:
      1. \\b1b1.tmp - not-a-virus:RiskTool.Win32.HideExec.ai


  • Уважаемый(ая) AntonVA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вылет браузера и др. программ
      От Molotok180 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.12.2011, 15:28
    2. Ответов: 1
      Последнее сообщение: 14.07.2011, 07:25
    3. Вылет програм
      От AJIeKCaHDp в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.03.2011, 20:09
    4. Ошибка svchost.exe и постоянный сброс драйверв
      От DKspider в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.11.2009, 11:46
    5. Постоянный перезапуск explorer.exe
      От gss1234 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 19.09.2007, 19:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01357 seconds with 24 queries