Показано с 1 по 20 из 20.

Виснет explorer.exe после действия вирусов (заявка № 80131)

  1. #1
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24

    Thumbs up Виснет explorer.exe после действия вирусов

    Здравствуйте, сразу извините что так подробно описываю проблему, ибо наболело, 3й день долбаюсь

    позавчера случилась такая проблема: во время работы в Opera выскочил kis с сообщением:

    обнаружено: потенциально опасное ПО Private data and passwords access Процесс: C:\Program Files\Opera\Opera.exe

    после чего я запустил проверку, в результате которой удалил несколько системных драйверов по требованию Каспера, вот полный лог:

    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\aec.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\arp1394.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\asyncmac.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\atmarpc.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\Cdaudio.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\dmusic.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\drmkaud.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\epiusb.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\ip6fw.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\ipfltdrv.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\ipinip.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\ipnat.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\irenum.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750bus.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750mdfl.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750mdm.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750mgmt.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750obex.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\kbdhid.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\kmixer.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\Modem.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\mskssrv.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\mspclock.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\mspqm.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\nwlnkfwd.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\PCIDump.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\PDCOMP.sys
    не найдено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\PDFRAME.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\secdrv.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\Sfloppy.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\splitter.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\swmidi.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\TDPIPE.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\usbccgp.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\usbprint.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\usbscan.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\wdf01000.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\WDICA.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\wudfpf.sys
    удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\wudfrd.sys
    не найдено: троянская программа Trojan-PSW.Win32.Agent.mzh Модуль: opera.exe\Opera.exe

    я перегрузился, и после этого нормальная работа прекратилась, так как практически сразу после загрузки explorer.exe виснет намертво, хотя программы, в частности Total Commander удается запускать с ярлыка на рабочем столе, и с помощью него управлять работой. пробовал убивать процесс explorer.exe из Диспетчера задач, запускать его снова, на какое-то время помогает, а потом он опять виснет. при этом если вообще ничего не трогать после загрузки, то его через время (от 1 до 30 минут рандомно) попускает, но потом он снова виснет, т.е. есть подозрение что внедренный в explorer.exe код периодически выполняет какие-то действия, на время которых работа explorer.exe блокируется (на правильность рассуждений не претендую )
    еще заметил, что в процессах стабильно висел svchost.exe, который грузил процессор все время стабильно на 50% и занимал один и тот же объем оперативки (около 6 метров)
    пробовал загружаться в безопасном режиме, там все работает нормально, вчера в нем же (в безопасном режиме) с помощью прожки autoruns от sysinternals нашел в автозапуске моего пользователя левый экзешник, отключил его и удалил ручками (точного названия увы не запомнил ). после этого в обычном режиме explorer.exe ведет себя также, а svchost.exe, грузивший проц пропал.

    вирусов ни AVPTool, ни CureIt! не нашли, запускал их и в безопасном режиме, и в обычном, логи прилагаю.

    помогите пожалуйста восстановить нормальную работу системы...

    пс. пока писал этот опус, explorer.exe работает после очередного его перезапуска нормально, но не факт что это надолго...
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  4. #3
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    карантин выслал, но сразу хочу сказать, что там dll-ки от специфического банковского ПО и прожка на Делфи, это не вирусы!

    ПС. если explorer.exe не висит, то могут повиснуть сетевые проги (браузеры, менеджер удаленного рабочего стола и тп)

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    В логах чисто.

    Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  6. #5
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    Выполнил как сказали, перегрузился, запустил скрипт, он мне написал:
    Поиск критических уязвимостей
    Часто используемые уязвимости не обнаружены

    Панель задач (explorer.exe) по прежнему виснет, приходится перезапускать

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(5);
     ExecuteRepair(11);
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RebootWindows(true);
    end.

  8. #7
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    сделал, изменений нет, панель задач так же вешается после загрузки

    Добавлено через 1 час 1 минуту

    просканировал только что gmer-ом, выдал несколько строк подозрительного вида с записями типа:
    Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR

    может выслать весь лог, посмотрите, или пока не надо?
    Последний раз редактировалось zamaranych; 04.06.2010 в 16:54. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    давайте лог

  10. #9
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    Цитата Сообщение от polword Посмотреть сообщение
    давайте лог
    прикрепил
    Вложения Вложения
    • Тип файла: log gmer.log (44.3 Кб, 3 просмотров)

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Скачайте mbr
    После запуска в папке с программой будет создан файл mbr.log
    Прикрепите его к сообщению

  12. #11
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    Цитата Сообщение от polword Посмотреть сообщение
    Скачайте mbr
    После запуска в папке с программой будет создан файл mbr.log
    Прикрепите его к сообщению
    прикрепил, вроде все ок

    может имеет смысл загрузиться с LiveCD и с него погонять? или взять где-нить оригинальній explorer.exe и заменить им существующий?
    Вложения Вложения
    • Тип файла: log mbr.log (195 байт, 9 просмотров)

  13. #12
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    гм, как интересно, теперь пока explorer.exe работает стабильно, winlogon.exe грузит проц стабильно на 50% и занимает 19900 Кб оперативки, раньше похоже вел себя svchost.exe...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от zamaranych Посмотреть сообщение
    может имеет смысл загрузиться с LiveCD и с него погонять?
    Смысл есть.

  15. #14
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Смысл есть.
    а что именно лучше погонять, не подскажите?

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Выполните http://virusinfo.info/showthread.php?t=3519

    В карантин должен попасть файл, который подменил собой зловред. Этот файл необходимо заменить на чистый.
    Наша служба, будто сердце, отдыха не знает никогда.

  17. #16
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    Файл сохранён как 100607_113238_virusinfo_files_KIEXP_4c0ca09665b7f. zip
    Размер файла 36296921
    MD5 1cc92d3fea542b0e0bedabc7b049d338

    пс. отписался также и в той теме

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    В карантин ничего не попало. Скорее всего антивирус удалил зараженные файлы. Посмотрите в отчете, какие файлы были удалены и скопируйте на их место чистые.
    Наша служба, будто сердце, отдыха не знает никогда.

  19. #18
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    я так понимаю сначала нужно обезвредить тело вируса, а потом уже восстанавливать удаленные файлы, а иначе смысл? все удаленные антивирусом файлы - это драйвера устройств, пытался их устанавливать с диска с драйверами, все висло намертво, поэтому оставил эту затею... как найти этого зверя, ума не приложу, ни один антивирус его не видит (( буду ковырять через ЛайвСД...

  20. #19
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    12
    Вес репутации
    24
    проблема решилась восстановлением системы с установочного диска Винды. Тему можно закрыть.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,524
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) zamaranych, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ошибка Explorer'a после лечения от вирусов
      От Aurelius26 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.10.2011, 13:50
    2. Ответов: 7
      Последнее сообщение: 11.02.2011, 15:40
    3. ошибка explorer.exe после вирусов
      От entej в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.09.2010, 20:24
    4. Последствия действия вирусов
      От Дройд в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.07.2010, 17:49
    5. После вирусов не запускается explorer.exe
      От michail123 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 06:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00385 seconds with 23 queries