Показано с 1 по 18 из 18.

Постоянный вылет explorer.exe и svchost.exe в windows 7 [not-a-virus:RiskTool.Win32.HideExec.ai ] (заявка № 142562)

  1. #1
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    32
    Вес репутации
    48

    Постоянный вылет explorer.exe и svchost.exe в windows 7 [not-a-virus:RiskTool.Win32.HideExec.ai ]

    Постоянный вылет explorer.exe в windows 7

    Есть вариант, что началось после некорректного выключения компа, типа повреждение профиля пользователя. Создание нового профиля не помогло. Есть подозрения на вирусы- каспер стоял, но лицензия закончилась.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) AntonVA, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    1) Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','Carberp');
     DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','32');
    if MessageDlg('Рекомендуется отключить автозапуск со всех съемных носителей,нажмите "ОК" что бы отключить и "НЕТ" что бы отказаться ?', mtInformation, mbYes+mbNo, 0) = 6 then
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun','221');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    2) Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    3) Сделайте новые логи AVZ

    4) Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)

    5) Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)

    6)
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код:
      tdsskiller.exe -silent -qmbr -qboot
    3. Запустите файл fix.bat;
    4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    5. Заархивируйте эту папку в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    6. Запустите файл TDSSKiller.exe;
    7. Нажмите кнопку "Начать проверку";
    8. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    13. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

    7) По окончанию лечения смените все пароли!

    TeamViewer устанавливали сами?
    Последний раз редактировалось mike 1; 25.07.2013 в 17:46.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    32
    Вес репутации
    48
    Каспер находит троян эвристикой, но похоже, справится с ним не может...

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

    - Сделайте лог полного сканирования МВАМ.

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    32
    Вес репутации
    48
    Результат проверки: http://virusinfo.info/virusdetector/...2BD4C5155C75D0
    Сканирование еще в процессе.

  10. #7
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    32
    Вес репутации
    48
    Результат анализа: _http://virusinfo.info/virusdetector/report.php?md5=83B5AD6DDC2FA7A7942BD4C5155C75D0
    Результат сканирования:
    Вложения Вложения

  11. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от AntonVA Посмотреть сообщение
    Каспер находит троян эвристикой
    Заархивируйте этот файл в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

  12. Это понравилось:


  13. #9
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    32
    Вес репутации
    48
    Цитата Сообщение от regist Посмотреть сообщение
    Заархивируйте этот файл в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    отправил

    - - - Добавлено - - -

    Решение возможно? Время поджимает. Похоже, придется систему переустанавливать. Этого делать ой как не хочется- куча софта стоит.

    - - - Добавлено - - -

    Странные вещи происходят в папке Temp профиля пользователя. Она постоянно наполняется файлами *.tmp причем даты изменения 2010-2012 года. объем приличный- 200 мегабайт. Уже несколько раз выносил я их...

    - - - Добавлено - - -

    Цитата Сообщение от mike 1 Посмотреть сообщение
    Здравствуйте!

    TeamViewer устанавливали сами?
    ХМ, только увидел ваш пост. Похоже, модератор только сейчас его проверил.
    На 8 вопрос ответ- да.

    - - - Добавлено - - -

    Новые логи. MBAM в процессе...
    Вложения Вложения

  14. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Сделайте полный образ автозапуска uVS

    - - - Добавлено - - -

    Цитата Сообщение от AntonVA Посмотреть сообщение
    Решение возможно? Время поджимает.
    возможно, но имейте терпение. Кроме вас есть и другие пользователи + свои личные дела у людей, которые тут помогают.

  15. #11
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    32
    Вес репутации
    48
    Я не подгоняю. Просто, интересно... Сейчас уже работаю на то, что бы помочь с опознанием зловреда. )))
    Вложения Вложения

  16. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от AntonVA Посмотреть сообщение
    что бы помочь с опознанием зловреда. )))
    а что там его опознавать ? каспер его детектит не эвристикой, вполне конкретный детект not-a-virus:RiskTool.Win32.HideExec.ai. У вас базы антивируса свежие ? А лог чуть позже посмотрю.

  17. Это понравилось:


  18. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','');
     QuarantineFile('C:\Users\user\AppData\Local\Temp\3387.tmp.exe','');
     QuarantineFile('C:\ProgramData\yRapVSfUGlIAShmZy621Qw.dat','');
     QuarantineFileF('C:\ProgramData\IBank', '*', true, ' ', 0, 0);
     DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','32');
     DeleteFile('C:\Users\user\AppData\Local\Temp\3387.tmp.exe','32');
     DeleteFile('C:\ProgramData\yRapVSfUGlIAShmZy621Qw.dat','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','MicrosoftUpdate');
     DeleteFileMask('C:\ProgramData\IBank', '*', true, ' ');
     DeleteDirectory('C:\ProgramData\IBank');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи AVZ

    Сделайте новые логи RSIT

    Сделайте лог TDSSKiller, который я просил сделать в 3 сообщении.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #14
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    32
    Вес репутации
    48
    Цитата Сообщение от regist Посмотреть сообщение
    а что там его опознавать ? каспер его детектит не эвристикой, вполне конкретный детект not-a-virus:RiskTool.Win32.HideExec.ai. У вас базы антивируса свежие ? А лог сейчас посмотрю.
    Хм. Странно. Почему-то он вначале говорит о эвристике, а потом уже конкретный детект указывает, а я этого не досмотрел в отчете. Только сейчас увидел. Тогда, судя по всему, имеет место быть хитрый глюк винды. Я с этого и начинал, все найденные способы восстановления перепробовал.

    - - - Добавлено - - -

    Спасибо всем. Буду переустанавливать систему таки... Если что, образ с нее снял.

  20. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Рекомендация в сообщении над Вашим, не торопитесь с переустановкой

    - - - Добавлено - - -

    Рекомендация в сообщении над Вашим, не торопитесь с переустановкой
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #16
    Junior Member Репутация
    Регистрация
    18.04.2011
    Сообщений
    32
    Вес репутации
    48
    Цитата Сообщение от thyrex Посмотреть сообщение
    Рекомендация в сообщении над Вашим, не торопитесь с переустановкой
    Пришлось таки переставлять- на компе работать нужно было, работа стояла.
    Вы бы для студентов отключили премодерацию- а то второй раз уже получаю от него рекомендации с запозданием.

    Остается открытым вопрос- это был взлом компа? Что-то увести пытались? Впрочем, там вайфай был открытым. Уже все перенастроил.

  22. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Цитата Сообщение от AntonVA Посмотреть сообщение
    Остается открытым вопрос- это был взлом компа? Что-то увести пытались? Впрочем, там вайфай был открытым. Уже все перенастроил.
    У вас был Carberp (http://www.securelist.com/ru/descriptions/29898794/) его основная задача воровать пароли от интернет кошельков. Смените все пароли
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  23. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 59
    • В ходе лечения обнаружены вредоносные программы:
      1. \\b1b1.tmp - not-a-virus:RiskTool.Win32.HideExec.ai


  • Уважаемый(ая) AntonVA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вылет браузера и др. программ
      От Molotok180 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.12.2011, 15:28
    2. Ответов: 1
      Последнее сообщение: 14.07.2011, 07:25
    3. Вылет програм
      От AJIeKCaHDp в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.03.2011, 20:09
    4. Ошибка svchost.exe и постоянный сброс драйверв
      От DKspider в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.11.2009, 11:46
    5. Постоянный перезапуск explorer.exe
      От gss1234 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 19.09.2007, 19:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00792 seconds with 20 queries