Проблема с explorer.exe

Доброго времени суток! У меня не загружается до конца Рабочий стол. Ни в нормальном, ни в безопасном режиме. Просто пустой рабочий стол с обоями и ни одной кнопки. В безопасном режиме удалось запустить Диспетчер задач (в нормальном режиме не запускается, выдается ошибка в процессах рабочей станции). Процесс explorer.exe занимает 100% загрузки процессора. Отключил его. С флешки запускал CureIt. Примерно на средине процесса Быстрой проверки экран стал голубым с комп пошел на перезагрузку. AVZ Скрипт лечения/карантина до конца не выполняет, комп зависает, так что извините, но вложить virusinfo_syscure.zip не могу. Архив virusinfo_cure.zip есть. Скрипт AVZ сбора инормации и HijackThis прошли нормально. Накануне была вирусная атака. НОД32 связь остановил и потом при проверке обранужил троянца. Но может еще что-то осталось и теперь вот таким боком вылезло. Очень прошу помочь.

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
AddToLog('Удаление скрытого сервиса '+'Wintb20'+' - Результат:'+inttostr(BC_ServiceKill('Wintb20, false')) );
AddToLog('Удаление скрытого сервиса '+'Winpx53'+' - Результат:'+inttostr(BC_ServiceKill('Winpx53, false')) );
AddToLog('Удаление скрытого сервиса '+'Winls54'+' - Результат:'+inttostr(BC_ServiceKill('Winls54, false')) );
AddToLog('Удаление скрытого сервиса '+'tcpsr'+' - Результат:'+inttostr(BC_ServiceKill('tcpsr, false')) );
AddToLog('Удаление скрытого сервиса '+'Biq20'+' - Результат:'+inttostr(BC_ServiceKill('Biq20, false')) );
AddToLog('Удаление скрытого сервиса '+'Muc65'+' - Результат:'+inttostr(BC_ServiceKill('Muc65, false')) );
QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpx53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls54.sys','');
QuarantineFile('C:\WINDOWS\system32\ntfs_ext6.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Muc65.sys','');
QuarantineFile('C:\Program Files\iNet Protector\IProtectorService.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Biq20.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Muc65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Biq20.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls54.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpx53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb20.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ntfs_ext6.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
SaveLog(GetAVZDirectory+'avz_log.txt');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки [U]в нормальном режиме[/U]:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
- Сделайте повторные логи согласно [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.

Скрипт выполнил. Ничего не изменилось. Т.е комп не загружается полностью ни в нормальном, ни в безопасном режиме. Скрипт лечения и сбора информации до конца не выполняется. Система зависает на стадии "Выполняется исследование системы" - это почти в самом конце выполнения после сканирования дисков. Соответственно, архив virusinfo_syscure.zip не создается. Кэш всех браузеров очистил.

Извиняюсь. Потерялись новые логи. Вот они.

virusinfo_syscure.zip где?

Этот скрипт до конца не выполняется и virusinfo_syscure.zip не образуется. Пробовал несколько раз запускать (с промежуточной перезагрузкой компа). Есть только virusinfo_cure.zip.

Это вначале было - я помню. Вы повторно пробовали, после выполнения скрипта, который я Вам предлагал, или просто решили, что ничего не изменилось, не проверив это?

Я честно выполнил ваши инструкции. Ничего не изменилось. В смысле комп остался в том же состоянии.

Это печально. Хорошо, попробуем так.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('Wintb20');
StopService('Winpx53');
StopService('Winls54');
StopService('Muc65');
StopService('Biq20');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpx53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls54.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Muc65.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Biq20.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Biq20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Muc65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls54.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpx53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb20.sys');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Wintb20');
BC_DeleteSvc('Winpx53');
BC_DeleteSvc('Winls54');
BC_DeleteSvc('Muc65');
BC_DeleteSvc('Biq20');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
- Сделайте повторные логи согласно только пункта 2 [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи к новому сообщению в этой ветке.

Все выполнил как вы писали. Все осталось по-прежнему. Комп зависает на выполнении explorer.exe. Только в безопасном режиме открывается Диспетчер задач. Вручную останавливаю explorer.exe и потом уже запускаю Новые задачи. AVZ виснет на стадии выполнения исследования системы. virusinfo_syscure.zip не создается. Все остальные запрошенные файлы прилагаю. В карантин попал файл, который я знаю. Это программа по моделированию сорбции.

Понятно. Сложный случай, беру небольшой таймаут - посовещаться с коллегами.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Пока попробуйте вот что. [url="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/url]
[i]gmer.log[/i]

Ничего не получается. На стадии автоматической экспресс-проверки выскакивает сообщение системы об ошибке. "Приложение будет закрыто. Приносим извинения..." Пробовал несколько раз, каждый раз загружая новый файл GMER.

[url="http://virusinfo.info/showthread.php?t=17228"]Удалите с помощью IceSword[/url] следующие файлы:
[CODE]C:\WINDOWS\System32\Drivers\Wintb20.sys
C:\WINDOWS\System32\Drivers\Winpx53.sys
C:\WINDOWS\System32\Drivers\Winls54.sys
C:\WINDOWS\System32\Drivers\Muc65.sys
C:\WINDOWS\System32\Drivers\Biq20.sys[/CODE]

При попытке запуска IceSword сразу выскакивает сообщение "Failed to create empty document". На втором компе, посредством которого я общаюсь с вами на форуме, программа нормально запускается.

Хм, неслабо зловред сопротивляется!
Попробуйте в защищённом режиме выполните полное сканирование системы с помощью свежей версии [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url]. Что найдёт - лечить, при невозможности лечения - удалять. [b]Обо всём найденном и вылеченном сообщите в этой ветке![/b]
Детект на эту заразу вроде как есть, судя по Карантину - если AVPTool запустится, то сможет его прибить. Попробуйте!
Если и там будет проблема - попробуем другую контрмеру.

AVPTool запустил сегодня утром. Он успешно проинсталлировался и работает уже 11 часов. Я запустил полную проверку всех дисков. Пока программа выполнена на 40%, проверять будет до утра. AVP пока нашел 5 файлов. Пишет: не вылечено. В графе Причина - Отложено. Нашел следующие файлы: [B]Trojan-Spy.Win32.Shiz.f[/B] в файле ntfs_ext6.exe и [B]AdWare.Win32.Reklosoft.ag[/B] (оба в карантине Doctor Web), [B]Trojan.Win32.Agent.dfls[/B] - найден 2 раза: в C:\Program Files\ESET\cache\FND0.NFI\PE-Crypt.XorPE и в C:\RECYLRER\S-1-5-21-1844237615-.....\Dc16.exe. [B]Trojan-Downloader.Win32.Mutant.aim[/B] в карантине AVZ (с более раннего запуска программы). Как это все удалить?

Вылечит, когда закончит процесс. Дождитесь, а потом сделайте новые логи. Перед сборкой логов [B]деинсталлируйте Lavasoft Ad-Aware!!![/B]

Еще обнаружен [B]Backdoor.Win32.Rbot.pqj [/B]в D:\My Program Files\Tools\Net|Rclient\RarminCrk.exe\ASPack

Ло-ги! :)

Все найденные вирусы удалил. В результате все равно видимо ничего не изменилось. Комп все равно зависает на процессе explorer.exe как в нормальном, так и безопасном режиме. Новые логи прилагаю.

Как деинсталлировать Lavasoft Ad-Aware не знаю. Через Диспетчер задач/Новая задача найти нужный uninstall не могу. А как запустить Установка/удаление программ Панели управления не знаю.