Во время загрузки выходит сообщение -> оибка SHDOCVW.dll и Explorer не грузится. Блокер отключили кодом с Касперского сайта.
Printable View
Во время загрузки выходит сообщение -> оибка SHDOCVW.dll и Explorer не грузится. Блокер отключили кодом с Касперского сайта.
немного поколдовав.. ошибка не выходит, теперь просто загружается ПК но без файла explorer и не отображается панель мень, пуск, рабочий стол и т.п. При загрузки из диспетчера задач, его что то блокирует.
выставляю обнавленые логи.
P.S.: Порнобанер просил смс не номер 3381
пока в подозрении три файла?
[CODE]C:\WINDOWS\system32\dfrg.msc %c:
mvfs32.dll
C:\WINDOWS\system32\cmdow.exe
C:\WINDOWS\system32\progman.exe[/CODE]
В логах не видно ничего подозрительного.
[QUOTE=AndreyKa;664746]В логах не видно ничего подозрительного.[/QUOTE]
а кто тогда блокирует exrlorer
В AVZ меню - Файл - Восстановление системы - в строчке
6. Удаление всех Polices (ограничений) …
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер.
пробовал, не помогло
C:\WINDOWS\system32\xshebcc.exe - вот этот файл удалили безвозвратно?
[B]steel-prom[/B], очистите кэш браузера.
[QUOTE=PavelA;664844]C:\WINDOWS\system32\xshebcc.exe - вот этот файл удалили безвозвратно?[/QUOTE]
только progman.exe остальные не удаляли
[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]
а нашел.. в Hijack пофиксил строку
[CODE]F3 - REG:win.ini: run=C:\WINDOWS\system32\xshebcc.exe[/CODE]
за что он отвечает?
Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
QuarantineFile('C:\WINDOWS\system32\xshebcc.exe','');
DeleteFile('C:\WINDOWS\system32\xshebcc.exe');
BC_ImportDeletedList;
BC_Activate;
end.[/code]
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.
[QUOTE=AndreyKa;665001]
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.[/QUOTE]
может просто пока в карантин?
Доктор сказал в морг, значит в морг.
ок:)
[size="1"][color="#666686"][B][I]Добавлено через 26 минут[/I][/B][/color][/size]
Файл сохранён как 100704_184827_virus_4c309f3bb20f0.zip
Размер файла 39508
MD5 3ff8fe48f149648ca4bbec84917d23fd
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
удалил, но explorer не загружается
логи...
пробовал его удалить с помощбю AVZ отложенное удаление, с чистой реестра...
Вот эту парочку пришли:
[CODE]begin
QuarantineFile('c:\windows\system32\taskmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
end.[/CODE]
Скорее всего, придется делать лог при помощи ComboFix - как читать в "Чаво".
ок.. завтра
Файл сохранён как 100706_073813_virus_4c32a525eb4ad.zip
Размер файла 498864
MD5 3a2b810a9af14dd3fea6e4540487b873
логи Combo
C:\shdocvw.zip - это сами делали? В любом случае надо прислать на проверку.
SHDOCVW.dll - MD5 пришлите.
а что за процесс у меня wscntfy.exe
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
проверил SHDOCVW.dll на Вирустотал 1/41:
[CODE]Symantec 20091.2.0.41 2010.02.11 Suspicious.Insight [/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
MD5
[QUOTE]File size: 946448 bytes
MD5 : 0356aac40bcefc2a5e9aabd6b1470d4d
SHA1 : 54d9cf4a353c8a348898a1353220a2092de880b8
SHA256: 64ec02c6780a620a488b65c4ee6cac6f1ef9bd82b6f29832e06ef268a76a227b
PEInfo: PE Structure information
[/QUOTE]
Этот нормальный.
что то все равно блокирует Explorer, запуская его из диспетчера задач... и он сразу выгружается
C:\WINDOWS\system32\cmdow.exe удали его.
удалил, не помогло
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 10 минут[/I][/B][/color][/size]
в Безопасном режиме тоже самое, explorer блокируется..
[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]
какие еще будут предположения - советы?
новые логи
а то что в драйверах sptd.sys находится на второй строчке не странно?
и вот еще: C:\WINDOWS\system32\hnetcfg.dll
[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]
а этот C:\WINDOWS\system32\Drivers\a348bus.sys при безопасной загрузки не желает грузится
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Файл сохранён как 100706_151524_virus_4c33104c5f633.zip
Размер файла 353534
MD5 7dbc096c212cb231ff98ed199558f06a
TdSSKiller проверься. Файл C:\WINDOWS\system32\drivers\atapi.sys проверь на ВТ.
Это - C:\WINDOWS\system32\drivers\sptd.sys от Даемона.
C:\DOCUME~1\Admin\LOCALS~1\Temp\catchme.sys
вот он....?
Это драйввер комбофикса
[QUOTE=PavelA;665974]TdSSKiller проверься. [/QUOTE]
чисто
[QUOTE=PavelA;665974] C:\WINDOWS\system32\drivers\atapi.sys проверь на ВТ[/QUOTE]
сопротивляется
[QUOTE]0 bytes size received / Se ha recibido un archivo vacio
[/QUOTE]
может?
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
SetServiceStart('atapi', 4);
StopService('atapi');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Запустил Gmer, начинается сканирование и выходит ошибка
IceSword тоже не дает запустить
Запустил с Rescue Disc Kaspersky, во время проверки system32 программа вылетает... какойто файлик *.sys проверяется не дает
востановил explorer копированием с другой машины... GMER не запускается...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
IceSword запустил... на дисках была какая то пустая папка AVTORN.INF ее порезал
еще один ПК с такой же проблемой... началась после выполнения стандартного скрипта 3, и удаления папки Avtoran.INF в корне дисков, виной всему:
[CODE]C:\Program Files\USBDiskSecurity\USBGuard.exe >>>>> Trojan.Win32.Buzus.dtqd успешно удален
Прямое чтение C:\WINDOWS\SoftwareDistribution\Download\add643cac30c40378e71415eca9acd29\BIT3B.tmp
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\CurrentVersion\Run,USB Antivirus,C:\Program Files\USBDiskSecurity\USBGuard.exe
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\CurrentVersion\Run,USB Antivirus,C:\Program Files\USBDiskSecurity\USBGuard.exe[/CODE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\cmdow.exe - [B]not-a-virus:RiskTool.Win32.HideWindows[/B][*] c:\windows\system32\xshebcc.exe - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: Trojan.Packed.20343, BitDefender: Trojan.Generic.4126207, NOD32: Win32/Delf.PJG trojan )[/LIST][/LIST]