Постоянный вылет explorer.exe в windows 7
Есть вариант, что началось после некорректного выключения компа, типа повреждение профиля пользователя. Создание нового профиля не помогло. Есть подозрения на вирусы- каспер стоял, но лицензия закончилась.
Printable View
Постоянный вылет explorer.exe в windows 7
Есть вариант, что началось после некорректного выключения компа, типа повреждение профиля пользователя. Создание нового профиля не помогло. Есть подозрения на вирусы- каспер стоял, но лицензия закончилась.
Уважаемый(ая) [B]AntonVA[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
1) [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','Carberp');
DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','32');
if MessageDlg('Рекомендуется отключить автозапуск со всех съемных носителей,нажмите "ОК" что бы отключить и "НЕТ" что бы отказаться ?', mtInformation, mbYes+mbNo, 0) = 6 then
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun','221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
2) [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
[/CODE]
3) Сделайте новые логи AVZ
4) Сделайте логи RSIT ([url]http://virusinfo.info/showthread.php?t=115256[/url])
5) Сделайте лог полного сканирования MBAM ([URL]http://virusinfo.info/showthread.php?t=53070[/URL])
6) [LIST=1][*]Скачайте архив [url=http://support.kaspersky.ru/downloads/utils/tdsskiller.zip]TDSSKiller.zip[/url] и распакуйте его в отдельную папку;[*]Скопируйте следующий текст в [U]Блокнот[/U] и сохраните в папку с распакованным [B]TDSSKiller.exe[/B], как [b]fix.bat[/b]:[code]tdsskiller.exe -silent -qmbr -qboot[/code][*]Запустите файл [b][i]fix.bat[/i][/b];[*]Найдите в корне системного диска (обычно это диск [i]C:[/i]) папку [b][i]TDSSkiller_Quarantine[/i][/b];[*] Заархивируйте эту папку в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.[*]Запустите файл [B][I]TDSSKiller.exe[/I][/B];[*]Нажмите кнопку "[b]Начать проверку[/b]";[*]В процессе проверки могут быть обнаружены объекты двух типов:[list][*]вредоносные (точно было установлено, какой вредоносной программой поражен объект);[*]подозрительные (тип вредоносного воздействия точно установить невозможно).[/list][*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: [b]Лечить[/b] или [b]Удалить[/b].[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию [b]Пропустить[/b]).[*]После нажатия кнопки [b]Продолжить[/b] утилита выполняет выбранные действия и выводит результат.[*][U]Прикрепите лог утилиты[/U] к своему следующему сообщению[/list]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: [i]ИмяУтилиты.Версия_Дата_Время_log.txt[/i]
Например, [i]C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt[/i]
7) По окончанию лечения смените все пароли!
8) TeamViewer устанавливали сами?
Каспер находит троян эвристикой, но похоже, справится с ним не может...
- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=290-virus-detector][B]тут[/B][/url]. Ссылку на результат проверки напишите в сообщении здесь.
- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
Результат проверки: [url]http://virusinfo.info/virusdetector/report.php?md5=83B5AD6DDC2FA7A7942BD4C5155C75D0[/url]
Сканирование еще в процессе.
Результат анализа: _http://virusinfo.info/virusdetector/report.php?md5=83B5AD6DDC2FA7A7942BD4C5155C75D0
Результат сканирования:
[quote="AntonVA;1021730"]Каспер находит троян эвристикой[/quote]
Заархивируйте этот файл в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
[QUOTE=regist;1021820]Заархивируйте этот файл в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.[/QUOTE]
отправил
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Решение возможно? Время поджимает. Похоже, придется систему переустанавливать. Этого делать ой как не хочется- куча софта стоит.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Странные вещи происходят в папке Temp профиля пользователя. Она постоянно наполняется файлами *.tmp причем даты изменения 2010-2012 года. объем приличный- 200 мегабайт. Уже несколько раз выносил я их...
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE=mike 1;1021688]Здравствуйте!
8) TeamViewer устанавливали сами?[/QUOTE]
ХМ, только увидел ваш пост. Похоже, модератор только сейчас его проверил.
На 8 вопрос ответ- да.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Новые логи. MBAM в процессе...
[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[quote="AntonVA;1021825"]Решение возможно? Время поджимает.[/quote]
возможно, но имейте терпение. Кроме вас есть и другие пользователи + свои личные дела у людей, которые тут помогают.
Я не подгоняю. Просто, интересно... Сейчас уже работаю на то, что бы помочь с опознанием зловреда. )))
[quote="AntonVA;1021881"]что бы помочь с опознанием зловреда. )))[/quote]
а что там его опознавать ? каспер его детектит не эвристикой, вполне конкретный детект [COLOR="#FF0000"]not-a-virus:RiskTool.Win32.HideExec.ai[/COLOR]. У вас базы антивируса свежие ? А лог чуть позже посмотрю.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','');
QuarantineFile('C:\Users\user\AppData\Local\Temp\3387.tmp.exe','');
QuarantineFile('C:\ProgramData\yRapVSfUGlIAShmZy621Qw.dat','');
QuarantineFileF('C:\ProgramData\IBank', '*', true, ' ', 0, 0);
DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VrEFKAdKpCo.exe','32');
DeleteFile('C:\Users\user\AppData\Local\Temp\3387.tmp.exe','32');
DeleteFile('C:\ProgramData\yRapVSfUGlIAShmZy621Qw.dat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','MicrosoftUpdate');
DeleteFileMask('C:\ProgramData\IBank', '*', true, ' ');
DeleteDirectory('C:\ProgramData\IBank');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте новые логи AVZ
Сделайте новые логи RSIT
Сделайте лог TDSSKiller, который я просил сделать в 3 сообщении.
[QUOTE=regist;1021892]а что там его опознавать ? каспер его детектит не эвристикой, вполне конкретный детект [COLOR="#FF0000"]not-a-virus:RiskTool.Win32.HideExec.ai[/COLOR]. У вас базы антивируса свежие ? А лог сейчас посмотрю.[/QUOTE]
Хм. Странно. Почему-то он вначале говорит о эвристике, а потом уже конкретный детект указывает, а я этого не досмотрел в отчете. Только сейчас увидел. Тогда, судя по всему, имеет место быть хитрый глюк винды. Я с этого и начинал, все найденные способы восстановления перепробовал.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Спасибо всем. Буду переустанавливать систему таки... Если что, образ с нее снял.
Рекомендация в сообщении над Вашим, не торопитесь с переустановкой
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Рекомендация в сообщении над Вашим, не торопитесь с переустановкой
[QUOTE=thyrex;1022093]
Рекомендация в сообщении над Вашим, не торопитесь с переустановкой[/QUOTE]
Пришлось таки переставлять- на компе работать нужно было, работа стояла.
Вы бы для студентов отключили премодерацию- а то второй раз уже получаю от него рекомендации с запозданием.
Остается открытым вопрос- это был взлом компа? Что-то увести пытались? Впрочем, там вайфай был открытым. Уже все перенастроил.
[QUOTE=AntonVA;1022408]
Остается открытым вопрос- это был взлом компа? Что-то увести пытались? Впрочем, там вайфай был открытым. Уже все перенастроил.[/QUOTE]
У вас был Carberp ([url]http://www.securelist.com/ru/descriptions/29898794/[/url]) его основная задача воровать пароли от интернет кошельков. Смените все пароли
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]59[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\b1b1.tmp - [B]not-a-virus:RiskTool.Win32.HideExec.ai[/B][/LIST][/LIST]