-
Junior Member
- Вес репутации
- 55
сбой при инициализации процесса explorer.exe 0x00000142
Здравствуйте.
В системе полно вирусов, проводилось сканирование и лечение с помощью drweb. Часть вирусов он нашел и удалил. После перезагрузки не запускает explorer.exe. Через диспетчер задач его также запустить не получается, просто показывает фон рабочего стола. Другие проги через диспетчер запускаются, но сильно тормозят. Сканирование через Drweb liveCD ни чего не показало.
Примерно каждые 10 секунд, идет обращение к флопи-диску. Дискеты в приводе нет.
Заранее огромное спасибо.
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте актуальную версию AVZ - 4.32 и обновите ее базы!
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\aliserv3.sys','');
QuarantineFile('C:\WINDOWS\system32\wbem\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\tajf83ikdmf.dll','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\WINDOWS\system32\msmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\setup.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\setup.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\msmgr.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
DeleteFile('C:\WINDOWS\system32\tajf83ikdmf.dll');
DeleteFile('C:\WINDOWS\system32\wbem\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\aliserv3.sys');
DeleteFile('C:\WINDOWS\temp\winlogon.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('wvesojgla');
BC_DeleteSvc('sroakaiuwxnq');
BC_DeleteSvc('rrcauze');
BC_DeleteSvc('ljjrf');
BC_DeleteSvc('synsend');
BC_Activate;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=56340).
4. Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
ВЫполнил скрипт на обновленной версии AVZ. Карантин отправил по ссылке. Сделал новые логи. После выполнения скрипта система загрузилась, работает быстро, без тормозов. Огромное спасибо. Нужно ли делать еще что0то?
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\jopn8pctw.exe','');
QuarantineFile('C:\WINDOWS\Temp\B7.tmp','');
QuarantineFile('C:\WINDOWS\Temp\AE.tmp','');
DeleteFile('C:\WINDOWS\Temp\AE.tmp');
DeleteFile('C:\WINDOWS\Temp\B7.tmp');
DeleteFile('C:\WINDOWS\Temp\jopn8pctw.exe');
DeleteFileMask('%Tmp%', '*.*', true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
SetAVZPMStatus(True);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил. Вот логи.
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
Код:
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - C:\WINDOWS\pagepromoterbar.dll (file missing)
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('hjgruibmqxtavn');
StopService('ovfsthgrnmflgldepxueimkpfjppsbeqlagnet');
QuarantineFile('c:\windows\system32\drivers\ovfsthxduqpaabmooiqdjulkiqqpyqtybfaayh.sys','');
QuarantineFile('c:\windows\system32\drivers\hjgruivtnnossi.sys','');
QuarantineFile('c:\windows\system32\hjgruivibtpuxs.dll','');
QuarantineFile('c:\windows\system32\hjgruihpfjlvph.dat','');
QuarantineFile('c:\windows\system32\hjgruilivkdwfd.dll','');
QuarantineFile('c:\windows\system32\hjgruiidntlirf.dat','');
QuarantineFile('c:\windows\system32\ovfsthccbvscvnvtmttapmyksfinbxvmonvxew.dll','');
QuarantineFile('c:\windows\system32\ovfsthceghuymhbbtpuelpgdwqvrmrsctfmbnp.dat','');
QuarantineFile('c:\windows\system32\ovfsthowrdjpwicnjehgbobyplncjckpqqdnfh.dll','');
QuarantineFile('c:\windows\system32\ovfsthxqolwtasavjuswqtpbhqrsmswdxoftho.dll','');
QuarantineFile('c:\windows\system32\ovfsthuadexfmmrerssfwqbwnylrprbsivprmn.dat','');
DeleteFile('c:\windows\system32\drivers\ovfsthxduqpaabmooiqdjulkiqqpyqtybfaayh.sys');
DeleteFile('c:\windows\system32\drivers\hjgruivtnnossi.sys');
DeleteFile('c:\windows\system32\hjgruivibtpuxs.dll');
DeleteFile('c:\windows\system32\hjgruihpfjlvph.dat');
DeleteFile('c:\windows\system32\hjgruilivkdwfd.dll');
DeleteFile('c:\windows\system32\hjgruiidntlirf.dat');
DeleteFile('c:\windows\system32\ovfsthccbvscvnvtmttapmyksfinbxvmonvxew.dll');
DeleteFile('c:\windows\system32\ovfsthceghuymhbbtpuelpgdwqvrmrsctfmbnp.dat');
DeleteFile('c:\windows\system32\ovfsthowrdjpwicnjehgbobyplncjckpqqdnfh.dll');
DeleteFile('c:\windows\system32\ovfsthxqolwtasavjuswqtpbhqrsmswdxoftho.dll');
DeleteFile('c:\windows\system32\ovfsthuadexfmmrerssfwqbwnylrprbsivprmn.dat');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('hjgruibmqxtavn');
BC_DeleteSvc('ovfsthgrnmflgldepxueimkpfjppsbeqlagnet');
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторный лог GMER
gmer.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Последний раз редактировалось gjf; 06.10.2009 в 03:33.
-
-
Junior Member
- Вес репутации
- 55
Лог gmer и карантин. карантин загрузил по ссылке.
Последний раз редактировалось zlichu; 24.12.2009 в 16:57.
-
Выполните скрипт AVZ:
Код:
begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\hjgruibmqxtavn');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ovfsthgrnmflgldepxueimkpfjppsbeqlagnet');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\hjgruibmqxtavn');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ovfsthgrnmflgldepxueimkpfjppsbeqlagnet');
end.
Что с проблемами?
-
-
Junior Member
- Вес репутации
- 55
Выполнил скрипт.
Проблемы пропали. Комп отлично работает, без тормозов. Не стартует только 1С, но скорее проблемы с базой.
Все огромное спасибо, за Вашу помощь. Думаю тему можно закрыть.
-
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 66
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\9335~1\locals~1\temp\setup.exe - Trojan-Downloader.Win32.Suurch.avh ( DrWEB: Trojan.Collector.130, BitDefender: Gen:Packed.bmX@aKymP2b, AVAST4: Win32:MalOb-R [Cryp] )
- c:\program files\microsoft common\svchost.exe - Packed.Win32.Krap.x ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Application.Generic.233489, AVAST4: Win32:Preald-AR [Drp] )
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.10281 )
- c:\windows\system32\msmgr.exe - Backdoor.Win32.Knokk.ab ( DrWEB: BackDoor.Siggen.954 )
- c:\windows\system32\msvcrt57.dll - Packed.Win32.Krap.x ( DrWEB: Trojan.DownLoad.5244, BitDefender: Trojan.Dropper.Preald.B )
- c:\windows\system32\tajf83ikdmf.dll - Trojan-Downloader.Win32.Agent.crbq ( DrWEB: Trojan.DownLoad.49351, BitDefender: Trojan.Generic.2501287, AVAST4: Win32:Ertfor [Trj] )
- c:\windows\system32\wbem\svchost.exe - Trojan.Win32.Inject.ajnh ( DrWEB: Trojan.Annoy.23, AVAST4: Win32:Trojan-gen )
- c:\windows\temp\ae.tmp - Backdoor.Win32.Bredavi.hy ( DrWEB: Trojan.DownLoad.47416, BitDefender: Trojan.Generic.2497867, AVAST4: Win32:Oficla-C [Trj] )
- c:\windows\temp\b7.tmp - Backdoor.Win32.Bredavi.hy ( DrWEB: Trojan.DownLoad.47416, BitDefender: Trojan.Generic.2497867, AVAST4: Win32:Oficla-C [Trj] )
- c:\windows\temp\jopn8pctw.exe - Trojan-Downloader.Win32.Agent.crbt ( DrWEB: Trojan.DownLoad.46042, BitDefender: Gen:Trojan.Heur.PT.amX@b43Yqwc, AVAST4: Win32:MalOb-R [Cryp] )
- c:\windows\temp\winlogon.exe - Trojan-Downloader.Win32.Suurch.avh ( DrWEB: Trojan.Collector.130, BitDefender: Gen:Packed.bmX@aKymP2b, AVAST4: Win32:MalOb-R [Cryp] )
-