Показано с 1 по 14 из 14.

ХР не загружается далее рабочего стола (нет процесса explorer, чистка cureit не помогла) (заявка № 94366)

  1. #1
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    8
    Вес репутации
    22

    Thumbs up ХР не загружается далее рабочего стола (нет процесса explorer, чистка cureit не помогла)

    Здравствуйте. Обращаюсь к вам за помощью.
    Обнаружил вирус (gwdrive.exe , msvmiode.exe и прочее) - стоит kav9, начал ругаться на файлы .ехе в system32 и в documents and settings/admin/../Temp.
    Пробовал убить через выключение автозагрузки в msconfig - не помогло. Качал cureit и пытался вылечить - находил, вроде удалял, но все равно вирус оставался.

    ОС - XP SP3. Загружается до рабочего стола, но не загружается explorer (в процессах нет, как новую задачу запустить нельзя - не удается найти файл) и так и висит. В ветке winlogon в HKCU написан он и еще какой то файл csisf.exe. В безопасном режиме точно такая же проблема - висит на рабочем столе.

    Загружаю файлы логов, жду ваших дальнейших указаний и заранее огромное спасибо!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    8
    Вес репутации
    22
    Как я понимаю, это аналог ветки http://216.246.91.178/~virusinf/showthread.php?p=749965. Сейчас делается проверка МВАВ, как закончится - сразу приложу лог-файл.
    Вложения Вложения

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    fAnt1ksx, обновите пожалуйста базы AVZ и сделайте новые логи.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    + сделайте такой лог http://virusinfo.info/showthread.php?t=40118

  6. #5
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    8
    Вес репутации
    22
    Обновил, прикладываю логи.
    Как просканирует GMER - выложу и его лог.

    И еще добавлю, что проблема с загрузкой обнаружилась после обновления баз kav9 и последующей перезагрузки.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    8
    Вес репутации
    22
    Прикладываю лог GMER.

    Жду помощи, заранее спасибо!
    Вложения Вложения
    • Тип файла: log gmer.log (41.8 Кб, 8 просмотров)

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится f5txgy9q.exe (gmer)
    Код:
    f5txgy9q.exe -del service kcpsucrpt
    f5txgy9q.exe -del file "C:\WINDOWS\system32\zozgpyke.dll"
    f5txgy9q.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kcpsucrpt"
    f5txgy9q.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kcpsucrpt"
    f5txgy9q.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kcpsucrpt"
    f5txgy9q.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!

    Сделать новый лог gmer.

    Добавлено через 1 минуту

    Удалите в МВАМ
    Код:
    Заражённые процессы в памяти:
    c:\WINDOWS\system32\42.exe (Trojan.Agent) -> 1172 -> No action taken.
    
    Заражённые ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
    
    Заражённые файлы:
    c:\WINDOWS\system32\42.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\doctorweb\quarantine\0389.exe (Worm.Email) -> No action taken.
    c:\documents and settings\Admin\doctorweb\quarantine\3072.exe (Worm.Email) -> No action taken.
    c:\documents and settings\Admin\doctorweb\quarantine\48719.exe (Worm.Email) -> No action taken.
    c:\documents and settings\Admin\doctorweb\quarantine\645.exe (Worm.Email) -> No action taken.
    c:\documents and settings\Admin\doctorweb\quarantine\647.exe (Worm.Email) -> No action taken.
    c:\documents and settings\Admin\doctorweb\quarantine\93016.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\doctorweb\quarantine\msvmiod0.exe (Worm.Email) -> No action taken.
    c:\documents and settings\Admin\doctorweb\quarantine\msvmiode.exe (Worm.Email) -> No action taken.
    c:\documents and settings\Admin\рабочий стол\avz4\avz4\quarantine\2010-12-28\avz00003.dta (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4Y1003S4\mobi[1].exe (Trojan.Agent.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4Y1003S4\mopi[1].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8URXRMW1\4444[1].exe (Trojan.Agent.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8URXRMW1\qdjkndmm[1].bmp (Extension.Mismatch) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PJMSFT8D\pgreat[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\TEOD9K8S\fawar[1].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\TEOD9K8S\fofo[1].exe (Trojan.Downloader) -> No action taken.
    c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc1.exe (Worm.Email) -> No action taken.
    c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc2.exe (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc3.exe (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc4.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\wiaserva.log (Malware.Trace) -> No action taken.
    Последний раз редактировалось thyrex; 28.12.2010 в 22:31. Причина: Добавлено
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    8
    Вес репутации
    22
    Новый лог GMER.

    В MBAM удалил все. Единственное что еще смущает - c:\WINDOWS\system32\innounp.exe


    После перезагрузки картина все такая же. Может какая то служба не стартует?
    Вложения Вложения
    • Тип файла: log gmer2.log (45.6 Кб, 2 просмотров)
    Последний раз редактировалось fAnt1ksx; 28.12.2010 в 23:34.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Новый лог МВАМ где после удаления?

    Цитата Сообщение от fAnt1ksx Посмотреть сообщение
    Единственное что еще смущает - c:\WINDOWS\system32\innounp.exe
    Нормальный файл
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    8
    Вес репутации
    22
    Лог прилагаю.

    > Нормальный файл
    Смотрел по вирустотал, там некоторые антивирусы ругаются на него, обзывая трояном.
    Вложения Вложения

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Установите все новые обновления для Windows

    Файл explorer.exe в папке Windows не обнаружили? Придется восстанавливать с дистрибутива или копировать с системы с аналогичным сервис паком
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    8
    Вес репутации
    22
    Скопировал explorer.exe (и explorer.scf) из дистрибутива. Изначально после чистки компа файл explorer.exe отсутствовал. Поискал лишние записи в реестре, попробовал сделать восстановление через AVZ. Пробовал кучу разных способов - все безрезультатно...

    Господа, помогите в решении проблемы, на нее я уже потратил 5 часов и все безрезультатно.

    При запуске explorer.exe через командную строку, пишет что
    C:\Documents and Settings\Admin>C:\WINDOWS\explorer.exe
    Программа не умещается в памяти

    У меня идеи лишь только - не стартует какая-то служба или нет нужных записей в реестре (были убиты антивирусом или моими кривыми попытками почиститься).

    Добавлено через 1 час 36 минут

    Друзья, огромная просьба помочь с восстановлением!

    Проверял с помощью SFC проверка системных файлов, пробовал восстанавливать реестр, прогонял еще раз AVZ (он нашел файл %systemroot%\system32\x - я его удалил), прогонял cureit, mbab, gmer - ничего подозрительного не нашел. Искал какие-либо ветки по explorer.exe - ничего подозрительного кроме killist. В целом проверял записи в реестре, заменял файлы, что только не делал - ничего не помогает. Не верю что систему нельзя восстановить и придется переустанавливать.

    Надеюсь на помощь, заранее спасибо!

    Добавлено через 1 час 19 минут

    Появилась мысль, что файл explorer.exe был помещен на карантин kav9. Ведь именно после обновления его баз и требования перезагрузки для включения новых модулей, у меня перестал загружаться рабочий стол и процесс explorer.exe.

    Есть ли такая вероятность? Как можно проверить? Может стоит полностью удалить касперского (или выключить службу, убрать автозагрузку).
    Последний раз редактировалось fAnt1ksx; 29.12.2010 в 11:46. Причина: Добавлено

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Проверьте, не попал ли explorer.exe в список недоверенных для антивируса (или в сильные ограничения)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    28.12.2010
    Сообщений
    8
    Вес репутации
    22
    Спасибо, буду проверять. Кроме подозрения на KAV и попытку сделать chkdsk /r у меня других вариантов больше в голове не рождается.

    Добавлено через 8 часов 36 минут

    Всем спасибо за помощь в лечении! Explorer.exe был на карантине у касперского, сейчас все работает!
    Последний раз редактировалось fAnt1ksx; 29.12.2010 в 22:08. Причина: Добавлено

  • Уважаемый(ая) fAnt1ksx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. После CureIt нет рабочего стола.
      От ma40 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.08.2011, 15:54
    2. Ошибка explorer.exe и Рабочего стола
      От Киран в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 19.01.2011, 12:58
    3. Ответов: 4
      Последнее сообщение: 02.02.2010, 08:45
    4. Ответов: 5
      Последнее сообщение: 16.06.2009, 22:24
    5. ОС не загружается до рабочего стола...
      От dengil в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 14.06.2009, 14:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00661 seconds with 22 queries