Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Не запускается explorer.exe [Trojan.Win32.Agent.adcr, Trojan-Downloader.Win32.Mutant.aim ] (заявка № 37364)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29

    Thumbs up Не запускается explorer.exe [Trojan.Win32.Agent.adcr, Trojan-Downloader.Win32.Mutant.aim ]

    Здравствуйте. ПК в свободном доступе используетс я несколькими людьми.
    Не загружается Эксплорер при включении, откат системы на несколько дней помог, теперь все повторилось через диспетчер грузится.
    Периодически отключается доступ в сеть
    rstrui.exe' - была попытка отключить самостоятельно через Advanced Uninstaller PRO 2004 - не помогло.
    Антивирусы ничего не видят.
    Спасибо заранее.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Проверку CureIt или AVPTool делали?

  4. #3
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    Да, CureIt - нашел 3 вируса, Ваш написал, что их очень монго, но CureIt их не нашел..
    Кстати после Вашей проверки комп летать стал...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Скачать этот AVZ http://depositfiles.com/files/5k0qihqas
    В скаченном AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\Microsoft Common\wuauclt.exe','');
     QuarantineFile('C:\WINDOWS\system32\Cpl32ver.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Winty51.sys','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\MLI6GTRI\winload[1].exe','');
     QuarantineFile('c:\windows\system32\..\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tansgt.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\litsgt.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ati4glxx.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\sysfldr.dll','');
     DeleteFile('C:\WINDOWS\SYSTEM32\sysfldr.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati4glxx.sys');
     DeleteFile('srv.exe');
     DeleteFile('c:\windows\system32\..\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\nphoik.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Din50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Flp05.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Nty83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Oty62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ouy51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wch38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wdi26.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winch51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winfk04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winip04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winjo27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winkp73.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winms26.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winpv62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winty51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winty62.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winub27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winye27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Xei05.sys');
     DeleteFile('sockspy.dll');
     DeleteFile('sysfldr.dll');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\MLI6GTRI\winload[1].exe');
     DeleteFile('C:\WINDOWS\system32\drivers\Winty51.sys');
     DeleteFile('C:\WINDOWS\system32\Cpl32ver.exe');
     DeleteFile('C:\PROGRA~1\Microsoft Common\wuauclt.exe');
     DeleteService('ati4glxx');
    BC_ImportALL;
     BC_DeleteSvc('ati4glxx');
     BC_DeleteSvc('Xei05');
     BC_DeleteSvc('Winye27');
     BC_DeleteSvc('Winub27');
     BC_DeleteSvc('Winty62');
     BC_DeleteSvc('Winty51');
     BC_DeleteSvc('Winpv62');
     BC_DeleteSvc('Winms26');
     BC_DeleteSvc('Winkp73');
     BC_DeleteSvc('Winjo27');
     BC_DeleteSvc('Winip04');
     BC_DeleteSvc('Winfk04');
     BC_DeleteSvc('Winch51');
     BC_DeleteSvc('Wdi26');
     BC_DeleteSvc('Wch38');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('Ouy51');
     BC_DeleteSvc('Oty62');
     BC_DeleteSvc('Nty83');
     BC_DeleteSvc('Flp05');
     BC_DeleteSvc('Din50');
     BC_DeleteSvc('aic32p');
     BC_DeleteSvc('wscsvcEventlog');
     BC_DeleteSvc('ThemesWebClient');
     BC_DeleteSvc('SharedAccessRpcSs');
     BC_DeleteSvc('NetDDEdsdmUTSCSI');
     BC_DeleteSvc('msupdate');
     BC_DeleteSvc('MessengerNetDDEdsdm');
     BC_DeleteSvc('EventSystemWmiApSrv');
     BC_DeleteSvc('ERSvcRasAuto');
     BC_DeleteSvc('AntiVirSchedulerSpooler');
    ExecuteSysClean;
     ExecuteRepair(9);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=37364
    Почиститесь от мусора http://virusinfo.info/showthread.php?t=10025
    Повторите логи по правилам.

  6. #5
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    После сканирования новым до чистки:
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    после чистки

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Имейте совесть! virusinfo_cure.zip - это карантин, я не успеваю убирать за Вами.

  9. #8
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    Цитата Сообщение от Maxim Посмотреть сообщение
    Имейте совесть! virusinfo_cure.zip - это карантин, я не успеваю убирать за Вами.
    надо подождать? мне написано прислать до и после...

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт
    Код:
    begin
     ExecuteStdScr(6);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetAVZPMStatus(true);
     DeleteFile('C:\WINDOWS\System32\Drivers\Oty62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winty51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Xei05.sys');
     DeleteService('Xei05');
     DeleteService('Winty51');
     DeleteService('Oty62');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     ExecuteWizard('TSW', 1, 1, true);
     ExecuteWizard('BT', 1, 1, true);
     RebootWindows(true);
    end.
    Повторите логи.

    Добавлено через 1 минуту

    Цитата Сообщение от koksinbox Посмотреть сообщение
    надо подождать? мне написано прислать до и после...
    Карантин запрещено выкладывать в теме. В теме Вы прикрепляете только логи.
    Последний раз редактировалось Макcим; 14.01.2009 в 14:36. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    Скрипт выполнен, после перезагрузки найдено неизвестное оборудование...
    Вложения Вложения

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Это побочный эффект, удалите это устройство, где остальные логи?

  13. #12
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    лог
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    голова пухнет, сорри
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Почитайте приложение 3 правил о там, как присылать запрошенные файлы и какие это должны быть файлы...... Вы в скаченном AVZ скрипты делаете?
    Пока лог гляну.

    Добавлено через 12 минут

    в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Oty62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winty51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Xei05.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('Xei05');
     BC_DeleteSvc('Winty51');
     BC_DeleteSvc('Oty62');
    BC_Activate;
    RebootWindows(true);
    end.
    логи повторите.
    Последний раз редактировалось light59; 14.01.2009 в 16:05. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    Да, AVZ, а не Моnk.

    еще при сканировании не смотрит диск Д, так и надо?
    Вложения Вложения

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В общем-то ничего плохого не видно, кроме ошметков старых антивирусов...

    1. Удалите задания в Планировщике (Панель управления - Назначенные задания).

    2. Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('Xei05');
     BC_DeleteSvc('Winty51');
     BC_DeleteSvc('REGSpy');
     BC_DeleteSvc('Oty62');
     BC_DeleteSvc('nod32drv');
     BC_DeleteSvc('FILESpy');
     BC_DeleteSvc('avpg');
     BC_DeleteSvc('MCVSRte');
     BC_DeleteSvc('mcupdmgr.exe');
     BC_DeleteSvc('KAVMonitorService');
     BC_DeleteSvc('AVPCC');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Последний раз редактировалось Bratez; 15.01.2009 в 16:26.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    логи
    Вложения Вложения

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Планировщик очищен, а вот мусор в службах и драйверах так и остался, т.е. результат работы скрипта какая-то ваша программа откатила назад, наверно Avira?

    На время выполнения отключите антивирус.

    Пофиксите в HijackThis:
    Код:
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
    O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)
    и выполните еще раз скрипт из сообщения #16, я его немного дополнил.

    Потом сделайте заново два последних лога.
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    13
    Вес репутации
    29
    лог
    Вложения Вложения

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    О! Теперь порядок!
    Какие жалобы остались?
    I am not young enough to know everything...

  • Уважаемый(ая) koksinbox, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. не запускается explorer
      От Faser в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 27.12.2010, 13:30
    2. Не запускается explorer.exe
      От intacto в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 01:33
    3. не запускается explorer.exe
      От igarilla в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.01.2009, 12:43
    4. Не запускается Explorer.exe
      От Anton_Petrenko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.10.2008, 15:55
    5. Не запускается explorer
      От Dunkelheit в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.10.2008, 11:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00083 seconds with 23 queries