Отсутствует исполняющее ядро для расширения имени файла ".exe"

**Евгений Киреев** · 09.06.2016, 11:49

Добрый день. Никогда не обращался к Вам, поэтому заранее прошу извинить если что-то упустил.
Моноблок с Windows 10 Домашняя x64. Пришел с целой кучей червей и вирусов, рекламное ПО везде, процессов левых море. Вычистил всё ручками, удалил всё подозрительное ПО. Сейчас при запуске выдаёт ошибку из названия в теме. Всё работает отлично, осталось только вот эта ошибка и не запускается рабочий стол (не стартует процесс explorer.exe, запускаю его через диспетчер задач). Для справки сделал два скрина с ошибкой и ещё с пытающимся осуществить запуск файлом .tmp Вложение 631835 Вложение 631836

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.06.2016, 11:50

Уважаемый(ая) Евгений Киреев, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 10.06.2016, 21:09

Пофиксите в HijackThis (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

F2 - REG:system.ini: UserInit=wscript C:\Windows\system32\userinit.exe

Выполните скрипт в AVZ:

Код:

begin
 DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
 DeleteService('UCGuard');
 DeleteService('tsnethlpx64');
 DeleteService('SRepairDrv');
 DeleteService('softaal');
 DeleteService('RegFilter');
 DeleteService('QMUdisk');
 DeleteService('IMFFilter');
 DeleteService('cherimoya');
 DeleteService('zigipyro');
 DeleteService('Wendh');
 DeleteService('UiguYpilr');
 DeleteService('Tomtes');
 DeleteService('rtysystemSrv');
 DeleteService('rijufoze');
 DeleteService('ProntSpooler');
 DeleteService('Omoredeusugejve Updater');
 DeleteService('ModuleCoreService');
 DeleteService('mfemms');
 DeleteService('LiveUpdateSvc');
 DeleteService('dowidoly');
 DeleteService('doroghtshejasmoduleservice');
 DeleteService('CloudPrinter');
 DeleteService('celifoqyzbt');
 DeleteService('0259771464964407mcinstcleanup');
 DeleteService('63B917D8-065B-4099-b535-CC9C399E1AFB');
 DeleteService('backlh');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\ucguard.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}');
ExecuteRepair(14);
ExecuteRepair(4);
ExecuteRepair(3);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Евгений Киреев** · 11.06.2016, 17:46

Всё сделал по инструкции.

**Vvvyg** · 11.06.2016, 20:39

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
GroupPolicyScripts-x32: Restriction <======= ATTENTION
HKLM-x32\...\Run: [sun21] => [X]
HKLM-x32\...\RunOnce: [AdBlock2] => [X]
HKLM-x32\...\RunOnce: [{E871CE6D-03D7-4297-8B37-3ED598024A82}] => cmd.exe /C start /D "C:\Users\UUser.123\AppData\Local\Temp" /B {E871CE6D-03D7-4297-8B37-3ED598024A82}.cmd
HKLM\...\Winlogon: [Userinit] wscript C:\Windows\system32\userinit.exe
HKU\S-1-5-21-4278121912-2779488722-3316752741-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpfTZDN7bBTFV-tS4S0K-nF-j70SB0M8zbOpGdeYoqsSk6tB3SuxFN6A5tbc8Nould1t3ANQruBekCroQKyGg5C49D-T21hQIlZUS9pOpmsDENxPvctJZP4HpiAc6xQKkX33B_Qc6I92irBJySfTH0hKn39r-Mc,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpfTZDN7bBTFV-tS4S0K-nF-j70SB0M8zbOpGdeYoqsSk6tB3SuxFN6A5tbc8Nould1t3ANQruBekCroQKyGg5C49D-T21hQIlZUS9pOpmsDENxPvctJZP4HpiAc6xQKkX33B_Qc6I92irBJySfTH0hKn39r-Mc,&q={searchTerms}
FF Homepage: C:\ProgramData\Lamzaps\ff.HP
FF NewTab: C:\ProgramData\Lamzaps\ff.NT
CHR Extension: (Advanced SystemCare Surfing Protection) - C:\Users\UUser.123\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\bbmegnmpleoagolcnjnejdacakedpcgd [2016-05-29]
CHR Extension: (Mail.Ru) - C:\Users\UUser.123\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-05-29]
CHR Extension: (Помощник) - C:\Users\UUser.123\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\bhbldcgbjblipegbeclmcnnddnopnhjm [2016-06-03]
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
S2 c2cautoupdatesvc; "C:\Program Files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe" /service [X]
S2 c2cpnrsvc; "C:\Program Files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe" /service [X]
S2 SkypeUpdate; "C:\Program Files (x86)\Skype\Updater\Updater.exe" [X]
S3 mfeaack; C:\Windows\System32\drivers\mfeaack.sys [422184 2016-01-29] (McAfee, Inc.)
2016-06-09 10:34 - 2016-06-11 17:35 - 00000374 _____ C:\WINDOWS\system32\Drivers\etc\hosts.ics
2016-06-03 09:04 - 2016-06-03 10:00 - 00000000 ____D C:\Users\UUser.123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-06-03 09:03 - 2016-04-25 21:55 - 00080768 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\ucguard.sys
2016-06-03 09:01 - 2016-06-03 09:01 - 00143992 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-06-03 09:01 - 2016-06-03 09:01 - 00097400 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64.sys
2016-06-03 08:59 - 2016-06-03 08:59 - 00002401 _____ C:\WINDOWS\SysWOW64\findit.xml
2016-06-03 08:51 - 2016-06-03 08:51 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamster Soft
2016-06-03 14:36 - 2016-06-03 09:01 - 00050808 _____ (Tencent) C:\WINDOWS\system32\Drivers\AntiRkX64.sys
2016-05-29 08:46 - 2016-06-08 09:46 - 00000000 ____D C:\Users\UUser.123\AppData\Local\Hostinstaller
CustomCLSID: HKU\S-1-5-21-4278121912-2779488722-3316752741-1001_Classes\CLSID\{034DF736-A378-4292-ACAE-A561088999F5}\InprocServer32 -> C:\Users\UUser.123\AppData\Local\PPTAssist\pptassist64.dll => No File
CustomCLSID: HKU\S-1-5-21-4278121912-2779488722-3316752741-1001_Classes\CLSID\{1077138E-896C-445E-BD31-CFCFFA4636C4}\InprocServer32 -> C:\Users\UUser.123\AppData\Local\PPTAssist\pptassist64.dll => No File
CustomCLSID: HKU\S-1-5-21-4278121912-2779488722-3316752741-1001_Classes\CLSID\{C4917602-2AC8-4ECE-8E5D-390C3871ABB3}\InprocServer32 -> C:\Users\UUser.123\AppData\Local\PPTAssist\tabassist64.dll => No File
CustomCLSID: HKU\S-1-5-21-4278121912-2779488722-3316752741-1001_Classes\CLSID\{CD241BA1-F570-459F-B9BD-242261816461}\InprocServer32 -> C:\Users\UUser.123\AppData\Local\PPTAssist\x64\officetool64.dll => No File
CustomCLSID: HKU\S-1-5-21-4278121912-2779488722-3316752741-1001_Classes\CLSID\{E00310B2-F036-4771-9347-C131257D990F}\InprocServer32 -> C:\Users\UUser.123\AppData\Local\PPTAssist\tabassist64.dll => No File
Task: {02F2587A-D8B7-4738-8C93-9CCCCA2ACF37} - \Soft installer -> No File <==== ATTENTION
Task: {034525FB-7CC3-4AC3-91EB-82931F31D185} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {09D7852A-DB1B-4CB5-9553-830381FCEBBF} - \tasklist -> No File <==== ATTENTION
Task: {0C673E6E-8E3A-4C24-8BDF-90F80200B87F} - \QQBrowser Updater Task(Core) -> No File <==== ATTENTION
Task: {1582C47A-2769-4BD3-8AD4-BC00683832E9} - System32\Tasks\VirusRemover => C:\Users\UUser.123\AppData\Local\Temp\VirusRemover.exe <==== ATTENTION
Task: {23EEF864-0B2B-4BC7-877F-B4BE7D51CB2D} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {3207ED7A-6B14-4378-9EFA-7F1147D762D1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {34BB71D3-3577-4FDC-815E-840F2EF88260} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {38E83FA3-B087-49B9-BC3B-5CFF4F9907C8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {38F23175-FE5C-4BF0-AFE3-9D6A1E11BB60} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {48D96862-87E9-4C63-8675-177DCE6E81E0} - System32\Tasks\Doroghtshejas Module => C:\Program Files (x86)\Doroghtshejas\doroghtshejasmoduletask.exe <==== ATTENTION
Task: {511217FB-C994-48D3-BA98-6501CF3F3A58} - System32\Tasks\AdBlock => AdBlock.exe <==== ATTENTION
Task: {59767560-E853-46AE-A20B-A165F5E4ED31} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {65C4D54F-53DB-4F13-B2F4-00279EA13F78} - \Ruotygutght System -> No File <==== ATTENTION
Task: {6F905395-39F0-4774-A0A9-8AD4DE12F422} - \svchost -> No File <==== ATTENTION
Task: {7CFF63CF-CA3C-4480-8804-BA8D140603BE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {8E044DBA-23A0-4DC3-A5B0-C6ABD4BB9989} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {95B3FB6F-5D3C-42B8-A951-5B7F4BF88266} - \QQBrowser Updater Task -> No File <==== ATTENTION
Task: {9727E258-A9DB-4E87-AE76-2A7A5F573964} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {A10DFA9B-BD86-4E38-AC28-09CFBBC5CE0B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {ACC749CA-DD63-4099-B768-B3C87A3CB793} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {D16CD0C7-9B4A-4ECF-88D6-5D9EB68F8232} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {D3E64761-5633-468B-8840-D368E687EDEB} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe
C:\Users\UUser.123\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [140]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpf64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpr64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpf64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpr64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Евгений Киреев** · 13.06.2016, 11:09

Выполнил всё по инструкции. Ошибка более не появлялась. Огромное спасибо за помощь!

**Vvvyg** · 13.06.2016, 18:18

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Отсутствует исполняющее ядро для расширения имени файла ".exe" (заявка № 201206)

Опции темы