-
Junior Member
- Вес репутации
- 57
Не запускается explorer.exe
XP SP3, стоял NOD32, система заглючила, перестал запускаться explorer и в нормальном и в безопасном режимах, Cureit нашел порядка 5-6 зверьков и удалил, после ручной чистки реестра ( были удалены записи hkcu\Software\Microsoft\Windows\CurrentVersion\Exp lorer\StuckRects2
hkcu\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Streams
hkcu\Software\Microsoft\Windows\CurrentVersion\Exp lorer\StreamsMRU) а такой hklm\software\microsoft\windows nt\current version\image file execution options\explorer.exe даже не было, в безопасном все восстановилось, в обычном нет, помогите пожалуйста.
Последний раз редактировалось serg_prm; 20.01.2010 в 18:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите
Код:
O4 - S-1-5-21-1454471165-1788223648-725345543-500 Startup: AutorunsDisabled (User '?')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B53DE431-C7AA-42E7-8C7D-DB30C4CDF81D}: NameServer = 85.255.112.15,85.255.112.215
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.15,85.255.112.215
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.15,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.15,85.255.112.215
-Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\systemroot\system32\drivers\aliserv3.sys','');
DeleteFile('\systemroot\system32\drivers\aliserv3.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Все ОК!!! СПАСИБО.
Вопросик. Какой файл из карантина содержит сам вирус, хочу послать в лаболаторию Данилова (DrWeb), что бы и они могли его обнаруживать?
Последний раз редактировалось serg_prm; 20.01.2010 в 18:36.
-
Сообщение от
serg_prm
Какой файл из карантина содержит сам вирус, хочу послать в лаболаторию Данилова (DrWeb), что бы и они могли его обнаруживать?
как по мне - так хоть все посылайте 
Сделайте лог GMER
-
-
Junior Member
- Вес репутации
- 57
Действительно, проблемы еще есть - не удается сделать дефрагментацию, сам дефрагментатор запускается, но ничего не делает без всяких ошибок. Еще при безопасном извлечении флэшки она на долю секунды исчезает и снова появляется в системе.
Последний раз редактировалось serg_prm; 20.01.2010 в 18:36.
-
Код:
Код:
gmer.exe -del service vsfocewbeepxmt
gmer.exe -del file "C:\WINDOWS\system32\vsfocewsp.dll"
gmer.exe -del file "C:\WINDOWS\system32\vsfocewrtqqwyu.dll"
gmer.exe -del file "C:\WINDOWS\system32\vsfocelyavcfym.dat"
gmer.exe -del file "C:\WINDOWS\system32\vsfocemsinetep.dll"
gmer.exe -del file "C:\WINDOWS\system32\vsfocegnlqjnvp.dat"
gmer.exe -del file "C:\WINDOWS\system32\drivers\vsfoceakxwwhmg.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\vsfocewbeepxmt"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocewbeepxmt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\vsfocewbeepxmt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\vsfocewbeepxmt"
gmer.exe -reboot
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.
После перезагрузки повторите логи по правилам + gmer.
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось serg_prm; 20.01.2010 в 18:36.
-
В логах ничего подозрительного. Жалобы есть?
- Прочитайте Как не стать завсегдатаем раздела Помогите?
C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
- Обновите JavaRE
C:\Program Files\Adobe\Acrobat 7.0
- Обновите Acrobat Reader
-
-
Junior Member
- Вес репутации
- 57
Переустановкой SP3 проблема дефрагментации решилась, осталось с флэшкой, но с этим жить можно. Большое спасибо за помошь. Вышеуказанный софт сейчас обновлю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\aliserv3.sys - Trojan.Win32.TDSS.aolj ( BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:Alureon-CE [Rtk] )
-
