Explorer.exe

Printable View

11.05.2010, 10:29
fash1on

Explorer.exe

Здравствуйте ребята. Столкнулся вчера с нерешаемой мною проблемой и решил обратится к Вам. Все началось с шума кулера, который вызывал у меня подозрение... Я начал рыть и заметил что системный процесс [B]Explorer.exe[/B] начал грузить CPU на [B]50-60%[/B] что и было источником повышенных оборотов кулера. Перезагрузка компа не внесла коррективы, а восстановление системы отказалось восстанавливать - "Восстановление системы завершилось неудачей и тд..." (стоит Windows 7 лицензия).
Я проверил систему в безопасном режиме AVZ, есть логи его и Hijackthis.:(
11.05.2010, 11:06
Kopeicev

Здравствуйте!

Необходимо сделать логи из рабочего режима, вы сделали логи из безопасного режима Windows. + Необходимо обновить базы AVZ.
11.05.2010, 14:58
fash1on

с рабочего режима сделан только Джек. AVZ с рабочего режима на этапе проверки дисков вылетает и винда завершает его работу...
С чем связано может быть ? Базы обновил, антивирусы выключены...

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 9 минут[/I][/B][/color][/size]

Я наконец то сделал логи AVZ и Джека в рабочем режиме! Прикрепил к первому посту. Заранее благодарен...
11.05.2010, 15:21
polar_owl

Закройте все программы, выгрузите антивирус, фаерволл

Выполните в AVZ скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\bpv\AppData\Local\Temp\cpuz130\cpuz_x32.sys','');
QuarantineFile('C:\Windows\system32\Drivers\PROCEXP141.SYS','');
BC_DeleteSvc('cpuz130');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]

В папке c АВЗ сохранится [B]virus.zip[/B].
Пришлите его по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы.
Повторите логи.
Выполлните такую процедуру(описана в первом сообщении):[url]http://virusinfo.info/showthread.php?t=3519[/url]
11.05.2010, 16:16
fash1on

Скрипты выполнил, ничего не поменялось, explorer.exe как жрал 50% CPU так и продолжает это делать... Архив virus.zip сделал но весит 6мб, системой разрешено только 4,77мб. Можно ли выложить на обменник?
11.05.2010, 16:47
polar_owl

в таком случае, согласно приложению 3 правил выделите файлы:
C:\Users\bpv\AppData\Local\Temp\cpuz130\cpuz_x32.sys
C:\Windows\system32\Drivers\PROCEXP141.SYS
и пришлите.
11.05.2010, 17:15
fash1on

таких файлов на компьютере не выявлено...
В таком случае выложу virus.zip на свой хостинг.
11.05.2010, 18:05
polar_owl

Ссылку надо бы удалить отсюда
11.05.2010, 18:13
fash1on

удалил, архив скачали?
11.05.2010, 18:33
Rene-gad

АВЗ нужно запускать от имени администратора даже если у Вас есть права админа.
Лог Hijachthis сделан старой версией, последняя версия 2.0.4.
Серверы в файле hosts
[CODE]127.0.0.1 secure.disc-soft.com
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
255.255.255.255 easyanticheat.se # misleading site
255.255.255.255 www.easyanticheat.se # misleading site
127.0.0.1 www.subdomain.localhost
127.0.0.1 www.subdomain.test1.ru
127.0.0.1 www.Tools.localhost
127.0.0.1 subdomain.localhost
127.0.0.1 subdomain.test1.ru
127.0.0.1 Tools.localhost
127.0.0.1 www.localhost
127.0.0.1 www.test1.ru
127.0.0.2 custom-host
127.0.0.2 www.custom
127.0.0.1 test1.ru
127.0.0.2 custom[/CODE]
Ваши?
11.05.2010, 20:00
polar_owl

[QUOTE='fash1on;635494']архив скачали? [/QUOTE]Скачал. Там нужного не было. То есть то, что карантинилось, туда не попало.
11.05.2010, 23:16
fash1on

Да все мои от локального сервера... (Хосты я проверял так же, это то что я сделал в первую очередь, а потом уже полез в диспетчер)
АВЗ перепроверю от администратора
Джек скачаю новый и сделаю лог...
12.05.2010, 00:30
fash1on

Итак, сделал проверку АВЗ от имени Администратора, и сделал лог новым Джеком
+ добавил скрин с фокусом восстановления системы...
12.05.2010, 16:24
fash1on

Я так понял что проще снести винду? или все таки можно решить эту проблему?
12.05.2010, 18:29
Rene-gad

[QUOTE=fash1on;635654]сделал лог новым Джеком
[/QUOTE]Сказки
[QUOTE]Logfile of Trend Micro HijackThis v2.0.2[/QUOTE]

[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]

[QUOTE=fash1on;635654] добавил скрин с фокусом восстановления системы...[/QUOTE]
и такая картина при каждом пункте восстановления?
12.05.2010, 22:42
fash1on

Вот скрин из джека...
Восстановление начало отказываться от своей задачи после этого случая, вернее я заметил только сейчас, раньше восстанавливать не приходилось...
Explorer.exe уже есть 98% CPU, ааа еле открыл браузер! :(
13.05.2010, 16:45
fash1on

Проблема решена - Переустановил Windows...