-
Junior Member
- Вес репутации
- 49
ХР не загружается далее рабочего стола (нет процесса explorer, чистка cureit не помогла)
Здравствуйте. Обращаюсь к вам за помощью.
Обнаружил вирус (gwdrive.exe , msvmiode.exe и прочее) - стоит kav9, начал ругаться на файлы .ехе в system32 и в documents and settings/admin/../Temp.
Пробовал убить через выключение автозагрузки в msconfig - не помогло. Качал cureit и пытался вылечить - находил, вроде удалял, но все равно вирус оставался.
ОС - XP SP3. Загружается до рабочего стола, но не загружается explorer (в процессах нет, как новую задачу запустить нельзя - не удается найти файл) и так и висит. В ветке winlogon в HKCU написан он и еще какой то файл csisf.exe. В безопасном режиме точно такая же проблема - висит на рабочем столе.
Загружаю файлы логов, жду ваших дальнейших указаний и заранее огромное спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 49
Как я понимаю, это аналог ветки http://216.246.91.178/~virusinf/showthread.php?p=749965. Сейчас делается проверка МВАВ, как закончится - сразу приложу лог-файл.
-
fAnt1ksx, обновите пожалуйста базы AVZ и сделайте новые логи.
-
-
-
-
Junior Member
- Вес репутации
- 49
Обновил, прикладываю логи.
Как просканирует GMER - выложу и его лог.
И еще добавлю, что проблема с загрузкой обнаружилась после обновления баз kav9 и последующей перезагрузки.
-
Junior Member
- Вес репутации
- 49
Прикладываю лог GMER.
Жду помощи, заранее спасибо!
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится f5txgy9q.exe (gmer)
Код:
f5txgy9q.exe -del service kcpsucrpt
f5txgy9q.exe -del file "C:\WINDOWS\system32\zozgpyke.dll"
f5txgy9q.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kcpsucrpt"
f5txgy9q.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kcpsucrpt"
f5txgy9q.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kcpsucrpt"
f5txgy9q.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Добавлено через 1 минуту
Удалите в МВАМ
Код:
Заражённые процессы в памяти:
c:\WINDOWS\system32\42.exe (Trojan.Agent) -> 1172 -> No action taken.
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Заражённые файлы:
c:\WINDOWS\system32\42.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\0389.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\3072.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\48719.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\645.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\647.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\93016.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\msvmiod0.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\msvmiode.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\рабочий стол\avz4\avz4\quarantine\2010-12-28\avz00003.dta (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4Y1003S4\mobi[1].exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4Y1003S4\mopi[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8URXRMW1\4444[1].exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8URXRMW1\qdjkndmm[1].bmp (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PJMSFT8D\pgreat[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\TEOD9K8S\fawar[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\TEOD9K8S\fofo[1].exe (Trojan.Downloader) -> No action taken.
c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc1.exe (Worm.Email) -> No action taken.
c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc2.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc3.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc4.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\wiaserva.log (Malware.Trace) -> No action taken.
Последний раз редактировалось thyrex; 28.12.2010 в 22:31.
Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Новый лог GMER.
В MBAM удалил все. Единственное что еще смущает - c:\WINDOWS\system32\innounp.exe
После перезагрузки картина все такая же. Может какая то служба не стартует?
Последний раз редактировалось fAnt1ksx; 28.12.2010 в 23:34.
-
Новый лог МВАМ где после удаления?
Сообщение от
fAnt1ksx
Единственное что еще смущает - c:\WINDOWS\system32\innounp.exe
Нормальный файл
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Лог прилагаю.
> Нормальный файл
Смотрел по вирустотал, там некоторые антивирусы ругаются на него, обзывая трояном.
-
Установите все новые обновления для Windows
Файл explorer.exe в папке Windows не обнаружили? Придется восстанавливать с дистрибутива или копировать с системы с аналогичным сервис паком
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Скопировал explorer.exe (и explorer.scf) из дистрибутива. Изначально после чистки компа файл explorer.exe отсутствовал. Поискал лишние записи в реестре, попробовал сделать восстановление через AVZ. Пробовал кучу разных способов - все безрезультатно...
Господа, помогите в решении проблемы, на нее я уже потратил 5 часов и все безрезультатно.
При запуске explorer.exe через командную строку, пишет что
C:\Documents and Settings\Admin>C:\WINDOWS\explorer.exe
Программа не умещается в памяти
У меня идеи лишь только - не стартует какая-то служба или нет нужных записей в реестре (были убиты антивирусом или моими кривыми попытками почиститься).
Добавлено через 1 час 36 минут
Друзья, огромная просьба помочь с восстановлением!
Проверял с помощью SFC проверка системных файлов, пробовал восстанавливать реестр, прогонял еще раз AVZ (он нашел файл %systemroot%\system32\x - я его удалил), прогонял cureit, mbab, gmer - ничего подозрительного не нашел. Искал какие-либо ветки по explorer.exe - ничего подозрительного кроме killist. В целом проверял записи в реестре, заменял файлы, что только не делал - ничего не помогает. Не верю что систему нельзя восстановить и придется переустанавливать.
Надеюсь на помощь, заранее спасибо!
Добавлено через 1 час 19 минут
Появилась мысль, что файл explorer.exe был помещен на карантин kav9. Ведь именно после обновления его баз и требования перезагрузки для включения новых модулей, у меня перестал загружаться рабочий стол и процесс explorer.exe.
Есть ли такая вероятность? Как можно проверить? Может стоит полностью удалить касперского (или выключить службу, убрать автозагрузку).
Последний раз редактировалось fAnt1ksx; 29.12.2010 в 11:46.
Причина: Добавлено
-
Проверьте, не попал ли explorer.exe в список недоверенных для антивируса (или в сильные ограничения)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Спасибо, буду проверять. Кроме подозрения на KAV и попытку сделать chkdsk /r у меня других вариантов больше в голове не рождается.
Добавлено через 8 часов 36 минут
Всем спасибо за помощь в лечении! Explorer.exe был на карантине у касперского, сейчас все работает!
Последний раз редактировалось fAnt1ksx; 29.12.2010 в 22:08.
Причина: Добавлено