-
Junior Member
- Вес репутации
- 55
не стартует explorer.exe при запуске windows
Доброго времени суток
Помогите пожалуйста, сегодня с утра на 1 машине
не запустился explorer.exe, ну подумаешь глюк
попробовал вручную запустить его, не прокатило
в безопасном он тоже не загрузился, и вручную
стартовать отказывался. Решил проверить авз-ом
который запустился только после того как сам
avz.exe был переименовал, с HiJackThis.ехе
была такая же ситуация.
Логи прилагаются
Последний раз редактировалось pog0; 06.08.2009 в 11:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!!!
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('msansspc.dll','');
QuarantineFile('digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethtlexk.sys','');
QuarantineFile('C:\Program Files\Common Files\netuse.exe','');
QuarantineFile('C:\WINDOWS\system32\activedsj.exe','');
DeleteFile('C:\WINDOWS\system32\activedsj.exe');
DeleteFile('C:\Program Files\Common Files\netuse.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('digiwet.dll');
DeleteFile('msansspc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ethtlexk');
BC_DeleteSvc('LmHostsRemoteRegistry');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Сделайте новые логи по правилам - virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log
Последний раз редактировалось DefesT; 09.07.2009 в 13:08.
Причина: Обновил скрипт
-
-
Junior Member
- Вес репутации
- 55
Извиняюсь за задержку
После выполнения скрипка explorer.exe
запустился. Поглядите пожалуйста
новый логи и высылаю карантин
Файл сохранён как 090710_092220_virus_4a56d00c36044.zip
Размер файла 131984
MD5 3f0d7e778b8b92a04a312ae89898a8a7
Последний раз редактировалось pog0; 06.08.2009 в 11:41.
-
Когда научимся отключать: Восстановление системы: включено?
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\activedsj.exe','');
DeleteFile('C:\WINDOWS\system32\activedsj.exe');
BC_DeleteSvc('LmHostsRemoteRegistry');
BC_DeleteSvc('ethtlexk');
DeleteFile('C:\WINDOWS\system32\drivers\ethtlexk.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторить.
Новый карантин прислать по Правилам.
Последний раз редактировалось PavelA; 10.07.2009 в 10:50.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Когда научимся отключать: Восстановление системы: включено?
простите, не углядел, да было включено
вот логи после отключения восстановления системы
и выполнения скрипка + карантин
Файл сохранён как 090710_132507_virus_4a5708f32682d.zip
Размер файла 598
MD5 04cd4f7b00d6c9c4bc7829b50e9e1bd8
поглядите пожалуйста
Последний раз редактировалось pog0; 06.08.2009 в 11:41.
-
C:\Program Files\Common Files\netuse.exe - про вот это что-то знаете? Есть ли этот файл на диске. Если нет, то строчку в Хиджаке надо профиксить.
SP3 надо ставить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Про данный файлик мне ничего неизвестно
это не моё
отправил его http://www.virustotal.com
получил такие результаты
Authentium 5.1.2.42009.07.09W32/Ircbot.ZX
CAT-QuickHeal10.00 2009.07.10Trojan.BAT.Runner.r
eSafe 7.0.17.02009.07.09Win32.QuickBatch.c
F-Prot 4.4.4.562009.07.09W32/Ircbot.ZX
McAfee-GW-Edition6.8.52009.07.10Heuristic.LooksLike.Win32.Killav.H
TheHacker 6.3.4.3.3632009.07.08Trojan/Runner.i
подскажите как быть с этой файлом?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Просто пофиксить с помощью HijackThis и ручками удалить?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Вроде пофиксил и удалил, сейчас ставить сп3
тему думаю можно отмечать решённой, если
больше никаких логов делать не надо.
всем большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ethtlexk.sys - HEUR:Backdoor.Win32.Generic ( BitDefender: DeepScan:Generic.IEBooot.27D3E52B )
-