Ошибка explorer.exe

Printable View

18.12.2009, 17:11
jeri

Ошибка explorer.exe

Здраствуйте. Возникла проблемка, вылезает ошибка
[SIZE=1]explorer.exe, [SIZE=2]за ней через несколько секунд вылетает
[SIZE=1]drwtsn32.exe . [/SIZE][/SIZE][SIZE=2]Ошибки раньше вылетали при открытии закрытии папок, теперь при попытке удалить, переместить файлы. Данные по ошибкам:[/SIZE]
[SIZE=1]Ошибка приложения explorer.exe, версия 6.0.2900.5512, модуль ntdll.dll, версия 5.1.2600.5755, адрес 0x00011119.[/SIZE]
[SIZE=1]Ошибка приложения drwtsn32.exe, версия 5.1.2600.0, модуль dbghelp.dll, версия 5.1.2600.5512, адрес 0x0001295d.[/SIZE]
[/SIZE][SIZE=2]В инструкции написано делать логи от имени администратора, увы не смог, выкидывает табличку о том что нет прав на данное действие.[/SIZE]
[SIZE=1][SIZE=2]Еще почему то при включеном касперском не могу запустить видео файлы через медиа плеер класик, выскакивает сообщение о том, что "приложение не правельно настроено, повторная переустоновка поможет решить проблему". Решил кодеки не менять подождать вашего совета.[/SIZE][/SIZE]
[ATTACH]194688[/ATTACH]

[ATTACH]194689[/ATTACH]

[ATTACH]194690[/ATTACH]
[SIZE=1]
[/SIZE]
18.12.2009, 18:30
jeri

Возник еще вопрос по поводу множества процесса svchost.exe., у меня в диспечире аж 8 процесов запущено. Увидел темку по этому поводу решил поинтересоваться за одно.
18.12.2009, 21:59
миднайт

Сканирование с помощью cureit из безопасного режима делали?

Пофиксите в HiJackthis:

[CODE]
R3 - URLSearchHook: (no name) - - (no file)
F3 - REG:win.ini: run=
[/CODE]

Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
18.12.2009, 23:47
jeri

Проверку делал.
HiJackthis выполнил.
Лог MBAM :
[ATTACH]194904[/ATTACH]
19.12.2009, 00:06
миднайт

Удалите в МБАМ:

[CODE]
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-74kc2a323342} (Worm.AutoRun) -> No action taken.
[/CODE]

I:\garant\PDF\OSEN_2009\tts_lapina.exe, I:\garant\PDF\OSEN_2009\tts_lapina1.exe, I:\garant\TTS\tts.exe - добавьте в карантин и пришлите по правилам (загружать по красной ссылке вверху темы)
19.12.2009, 00:43
jeri

Как добавить в карантин? через что? Кажется случайно удалил "I:\garant\PDF\OSEN_2009\tts_lapina.exe" через авз.
19.12.2009, 00:53
миднайт

Можно сделать это через avz Приложение 2 правил, можно просто добавить все в архив zip с паролем virus
19.12.2009, 00:53
jeri

Ошибочка( удалил все три указанных файла через МБАМ.
МБАМ больше их не находит(
19.12.2009, 01:22
миднайт

Надеюсь это были не критические для вас файлы? Аккуратнее надо было. Повторите лог мбам.
19.12.2009, 12:18
jeri

Там програма "консультант +", переустановить если что не проблема.
Лог MBAM[ATTACH]195030[/ATTACH]
19.12.2009, 14:06
миднайт

В этом логе чисто. Ошибки продолжают появляться?
19.12.2009, 14:28
jeri

Да продолжают. Забыл написать что после появления ошибок система виснет пока не отключаю в диспетчере процесс drwtsn32.exe
Еще почемуто после этих всех проверок пару раз зависала языкавая понель( не мог переключиться с анг.- на рус.) помогала только перезагрузка(
19.12.2009, 14:54
миднайт

MBAM деинсталлируйте. сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]
19.12.2009, 15:32
jeri

При попытке запустить вылезает выше переисленные ошибки. Один раз запустилась но в процессе быстой проверке вылетелы ошибка приложения и гмер закрывается(
19.12.2009, 20:10
миднайт

При сканировании утилитами отключались все защитные приложения? Давайте все логи по правилам + лог гмер (если не получится сделайте из безопасного режима)
19.12.2009, 21:40
jeri

Защитные приложения отключались.
На этот раз запустил утилиты спомощью учетной записи наделенной правами администратора, кроме гмера.
[ATTACH]195231[/ATTACH]

[ATTACH]195232[/ATTACH]

[ATTACH]195233[/ATTACH]
С гмером проблема не запустить ни в простом, ни безопасном режиме, появляется злощастная ошибка(
В безопасном режиме запустил через администратора, но при экспресс сканировании вылетает ошибка приложения и гмер закрывается(.
Еще вопрос, при создании 1 лога по инструкции, авз сканирует только системный диск "С". Так и надо? Просто у меня несколько дисков.
20.12.2009, 19:19
миднайт

Надо было с самого начала все действия выполнять с правами администратора, ибо лечение и исследование может быть неэффектиным. В логах ничего подозрительного не обнаружил.
Сделайте лог RKU [url]http://virusinfo.info/showthread.php?t=57249[/url]
Скачать утилиту можно отсюда [url]http://www.rootkit.com/vault/DiabloNova/RkU3.8.384.586.rar[/url]
20.12.2009, 20:53
jeri

В принципе на компе была одна учетная запись, автоматически наделенная провами администратора. Сейчас создал вторую, пользуюсь той которая с ограниченными правами.
Странность при скачивании данной программы, если нажимаю на ссылку, появляется окно сохранения и тут же пропадает, закачал только через Download Master. Тоже самое было с Gmer.
При запуске программы появляется табличка
---------------------------
Warning - Integrity checking
---------------------------
Rootkit Unhooker has detected parasite inside itself!

It is recommended to remove parasite, okay?

Parasite type: Unknown remote thread

Thread ID: 3564

Priority: 8

Thread start address: 0x6D8433F0

Module: mzvkbd3.dll
---------------------------
ОК Отмена
---------------------------
Жму окей, по инструкции иду в вкладку "report" , но там ни чего нет, поле пустое.
Сканировать не стал, жду инструкций.
20.12.2009, 21:15
миднайт

Антивирус Касперского выгрузите на время сканирования, либо внесите rku в доверенные.
20.12.2009, 21:45
jeri

Выгрузить касперского это значит выключить защиту? Если да то все равно не помогает.
Добавил рку в доверенные, тоже самое.
В вкладке "report" по прежнему пусто.
20.12.2009, 23:31
миднайт

Выгрузите, это имелось ввиду вообще отключите на время сканирования. Выгрузите из трея.
20.12.2009, 23:46
jeri

Не помогает, все равно выскакивает табличка.
---------------------------
Warning - Integrity checking
---------------------------
Rootkit Unhooker has detected parasite inside itself!

It is recommended to remove parasite, okay?

Parasite type: Unknown remote thread

Thread ID: 5776

Priority: 8

Thread start address: 0x6D8433F0

Module: mzvkbd3.dll
---------------------------
ОК Отмена
---------------------------
21.12.2009, 11:16
jeri

Снес антивирус, запустил програму только войдя в учетную запись администратора.
[ATTACH]195854[/ATTACH]
Попытался просканить систему AVPTool , не дает запустить, получилось опятьже только в уч.записи админа, буду сканировать, найдет ченить отпишусь.
21.12.2009, 23:06
миднайт

В дополнение попробуем сделать лог [url=http://virusinfo.info/showthread.php?t=40120]RootRepeal[/url], скачать последнюю версию можно отсюда [url]http://ad13.geekstogo.com/RootRepeal.rar[/url]
Если не будет запускаться в обычном режиме, запустите в безопасном.
21.12.2009, 23:33
jeri

Получилось запустить через безопатный режом, но войдя в учетную запась админа.
[ATTACH]196211[/ATTACH]
22.12.2009, 00:30
миднайт

В логе ничего плохого не видно. Попробуйте накатить третий сервис пак.
=
зы. thnx to Aleksandra
22.12.2009, 09:03
jeri

Уменя вроде стоит 3 сервис пак)
22.12.2009, 14:37
миднайт

Я знаю :). Под "накатить" имелось ввиду сверху поставить sp3, заново.
22.12.2009, 23:50
jeri

Что ж попробую)

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 40 минут[/I][/B][/color][/size]

Спасибо за помощь, я решил переустановить винду, вернее поставил виндовс 7.