не загружается explorer.exe

**myaso** · 20.03.2014, 16:23

Здравствуйте, проблема уже достаточно долго, но сейчас случаи участились. При входе в пользователь не загружается рабочий стол, пуск и т.д. Иногда приходится подождать минут 5 пока загрузиться, иногда раза с 10-15 перезагрузки компьютера сразу запускается рабочий стол и все нормально.
Не хотелось бы переустанавливать виндовс.
Логи пока что сделал только hijacktis, если нужны еще какие - скажите.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.03.2014, 16:24

Уважаемый(ая) myaso, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 20.03.2014, 17:54

Логи AVZ еще нужны.

**myaso** · 20.03.2014, 21:00

Готово. Рабочий стол загрузился. На всякий случай сделал еще лог hijacktis. Может есть какие то различия и будет сразу видно.

**mike 1** · 21.03.2014, 00:03

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;   
 QuarantineFile('F:\Program Files\Common Files\svсhost.exe','');
 DeleteFile('F:\Program Files\Common Files\svсhost.exe','32');
 DeleteFile('F:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('F:\WINDOWS\Tasks\DealPlyUpdate.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\google_anality','command');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;   
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

**myaso** · 21.03.2014, 16:33

Чуть позже прикреплю лог mbam

После перезагрузки рабочий стол как и раньше не грузится.

**mike 1** · 21.03.2014, 16:55

Пока делается отчет MBAM. Посмотрите карантин Аваста он случайно не удалил файл Explorer.exe?

**myaso** · 21.03.2014, 17:34

Из за того что рабочий стол не грузится, не могу найти даже путь куда аваст у меня установлен.
Антивирус при выполнении действий avz отключал. Ничего постороннего не выскакивало. Только вчера когда avz сканировал, аваст матюгнулся.

**mike 1** · 21.03.2014, 18:46

У Аваста недавно было ложное срабатывание на системный файл explorer. Поэтому антивирус мог файл поместить в карантин из-за чего теперь рабочий стол может вообще не загружаться.

**myaso** · 21.03.2014, 20:11

Нет, в хранилище нету explorer.exe
Сейчас чудом через 3.5 часа загрузился рабочий стол

При входе в пользователь кстати explorer.exe запускается, ну он не набирает память. Т.е. должно быть в столбике память ~66000кб, а там ~7500кб и все.
mbam все еще сканирует...

**mike 1** · 22.03.2014, 00:08

Жду отчет MBAM.

**myaso** · 22.03.2014, 21:24

вот просканировался)

- - - Добавлено - - -

Ну что там?

**mike 1** · 22.03.2014, 23:43

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

Обнаруженные ключи в реестре:  10
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\SweetIM_URLSearchHook.ToolbarURLSearchHook (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
HKCR\SweetIM_URLSearchHook.ToolbarURLSearchHook.1 (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
HKCU\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  4
HKCU\SOFTWARE\DealPly|Partner (PUP.Optional.DealPly.A) -> Параметры: iron -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.
HKLM\SOFTWARE\DealPly|ChromeCrxPath (PUP.Optional.DealPly.A) -> Параметры: F:\Program Files\DealPly\DealPly.crx -> Действие не было предпринято.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: {CAB533A8-D5F3-11DD-99A1-001D60E86EAB} -> Действие не было предпринято.

Обнаруженные папки:  4
F:\Program Files\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
F:\Documents and Settings\дима\Главное меню\Программы\DealPly (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\Dealply (PUP.Optional.DealPly.A) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\Dealply\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Downloads\Архивы\icqsnif.rar (PUP.BitCoinMiner) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-01-30\avz00001.dta (Trojan.Agent) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-01-30\avz00002.dta (Password.Stealer) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-01-31\avz00001.dta (Trojan.Agent) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-01-31\avz00002.dta (Password.Stealer) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-02-04\avz00001.dta (Trojan.Agent) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-02-04\avz00002.dta (Password.Stealer) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-02-10\avz00001.dta (Trojan.Agent) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-02-10\avz00002.dta (Password.Stealer) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-02-13\avz00001.dta (Trojan.Agent) -> Действие не было предпринято.
F:\avz4\Quarantine\2013-02-13\avz00002.dta (Password.Stealer) -> Действие не было предпринято.
F:\Documents and Settings\дима\DoctorWeb\Quarantine\avz00000.dta (Password.Stealer) -> Действие не было предпринято.
F:\Documents and Settings\дима\DoctorWeb\Quarantine\avz00001.dta (Password.Stealer) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\avz4\Quarantine\2014-03-20\avz00001.dta (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\avz4\Quarantine\2014-03-20\avz00002.dta (Password.Stealer) -> Действие не было предпринято.
F:\RECYCLER\S-1-5-21-725345543-573735546-2147112213-1008\Df8\2012-04-26\avz00001.dta (Trojan.Agent) -> Действие не было предпринято.
F:\RECYCLER\S-1-5-21-725345543-573735546-2147112213-1008\Df8\2012-04-26\avz00002.dta (Password.Stealer) -> Действие не было предпринято.
F:\WINDOWS\Installer\1e311b.msi (PUP.Optional.SweetIM) -> Действие не было предпринято.
F:\WINDOWS\Installer\d58695.msi (Adware.ADON) -> Действие не было предпринято.
F:\Program Files\DealPly\DealPlyUpdateRun.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
F:\Program Files\DealPly\DealPlyUpdateVer.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
F:\Program Files\DealPly\DealPly.crx (PUP.Optional.DealPly.A) -> Действие не было предпринято.
F:\Program Files\DealPly\DealPly.xpi (PUP.Optional.DealPly.A) -> Действие не было предпринято.
F:\Program Files\DealPly\DealPlyIE64.dll (PUP.Optional.DealPly.A) -> Действие не было предпринято.
F:\Program Files\DealPly\icon.ico (PUP.Optional.DealPly.A) -> Действие не было предпринято.
F:\Program Files\DealPly\uninst.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
F:\Documents and Settings\дима\Главное меню\Программы\DealPly\Uninstall DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
F:\Documents and Settings\дима\Главное меню\Программы\DealPly\DealPly Help.url (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
F:\Documents and Settings\дима\Главное меню\Программы\DealPly\DealPly.url (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
F:\WINDOWS\system32\roboot.exe (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\Dealply\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
F:\Documents and Settings\дима\Application Data\Dealply\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

**myaso** · 24.03.2014, 00:19

Вот только просканировал.

Может есть какие нибудь способы проверить что мешает загрузиться explorer.exe при включении компьютера?
Какая то команда есть чтобы смотреть список автозагрузки, напомните пожалуйста.

**mike 1** · 24.03.2014, 01:41

Через process monitor можно посмотреть что мешает загрузке.

Что из этого можно удалить?

Код:

Обнаруженные файлы:
C:\hodilka\mvi.zip (Trojan.Downloader) -> Действие не было предпринято.
C:\Downloads\Autoupdate\rcpsetup_dcnew_util_728.exe (PUP.Optional.RegCleanerPro) -> Действие не было предпринято.
F:\Documents and Settings\дима\Мои документы\Spammer.zip (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\mail.ru\Mail.ru_regger\Mail.ruRegistrator.exe (Spyware.VKont) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Mega Vkontakte Inviter\mvi\re_exec.run (Trojan.Downloader) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\призолов\ruzik\hlam\skype flooder2.exe (SpamTool.Skipe) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\призолов\вирус\result.exe (Packer.UPXMod) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\призолов\вирус\result_crypt.exe (Packer.UPXMod) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\призолов\brute_phpbb\ArxWFakeGen.rar (HackTool.BruteForce) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\призолов\brute_phpbb\фейк\1\ArxWFakeGen.exe (HackTool.BruteForce) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\призолов\юбилейное\zeal generator.exe (PUP.Optional.InstalleRex) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\dup2.beta.rar (PUP.Hacktool.Patcher) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\Провера_майлов_на_валидность.rar (Packer.UPXMod) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\clickermann_last.zip (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\CRACK_fotoshop_cs3.rar (Trojan.Downloader) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\dialupass2.zip (PUP.Dialupass) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\Solitario Crypter.rar (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\отправка смс.rar (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\10_Proxifier2.7Key.rar (Hacktool.Gen) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\Black Energy.zip (Backdoor.Bot) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\brut.zip (Trojan.Dropper) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\ProxyFinderEnt-v2.51.rar (Spyware.Keylogger) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\UFR_Stealer.rar (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\AjY Crypter V 1.0 mod bypit.rar (Backdoor.PoisonIvy) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\ArxWFakeGen.rar (HackTool.BruteForce) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\CHEATTUBORG.rar (HackTool.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\ExcellentBonus.rar (Trojan.MSIL) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\___________________.rar (Trojan.FAKEMS) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\RDP_brute_stels.rar (Trojan.Dropper) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\RDP_BRUT_PRIVAT(na dedik).zip (Trojan.Dropper) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Spam_VK(крякнуть нужно).rar (RiskWare.Tool.Vkbot) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\iepv.zip (PUP.PSW.Passview) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Mail.ruRegistrator.zip (Spyware.VKont) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\mail.ru_parser.rar (Malware.Gen) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Подозрительный софт\odnoklassniki.spamer(W32Heuristic-210!Eldorado).rar (Trojan.Downloader) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Подозрительный софт\ddos.rar (Trojan.Flooder) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Подозрительный софт\SpamerGR(2).rar (Malware.Packer.Gen) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Подозрительный софт\SpamerGR.rar (Malware.Packer.Gen) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Подозрительный софт\SpamerGR2.rar (Malware.Packer.Gen) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Подозрительный софт\wm.rar (Password.Stealer) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\хлам с дампатхт\DUBrute_2.1.zip (PUP.HackTool.BruteForce) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\Приколы на экране\Bank.exe (Trojan.Agent) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\Приколы на экране\запусти 2 раза эту прогу.exe (Joke.ScrnFly) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\Grand Theft Auto IV (GTA 4) 1C\GTA4 - проверенна мной - работает!\чтобы не трясло камеру.rar (Packer.ModifiedUPX) -> Действие не было предпринято.
F:\Documents and Settings\дима\Рабочий стол\transcend\Angry Birds\Angry Birds All [UniCrack Offline] v1.4.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
F:\Documents and Settings\дом\Application Data\Thinstall\ErrorKiller\400000ce00002i\Opera.exe (Rootkit.Dropper) -> Действие не было предпринято.
F:\Documents and Settings\общий\Рабочий стол\1\хлам\video.rar (PUP.IpdBrute) -> Действие не было предпринято.

**myaso** · 24.03.2014, 15:13

mike 1, я удалил из этого списка все что не нужно было. В особенности это
F:\Documents and Settings\дом\Application Data\Thinstall\ErrorKiller\400000ce00002i\Opera.ex e
и еще парочку из реестра вроде бы какие то.

Не объяснишь, как пользоваться process monitor?

**mike 1** · 24.03.2014, 17:34

Здесь http://forum.kaspersky.com/index.php...post&p=2195530 есть небольшая инструкция как пользоваться Process Monitor. Полученный лог потом открываете через вкладку File => Open выбираете сохраненный pml файл и открываете его в программе.