-
Junior Member
- Вес репутации
- 59
Explorer.exe постоянно вылетает с ошибкой при запуске системы
ОС - Windows XP professional rus SP3 x86
В последнее время при запуске системы стал вылетать explorer с ошибками с разными кодами и по странным адресам (типа 0x000000000 или 0xccccccccc и т.п., например вот последнее сообщение: "Ошибка приложения : Инструкция по адресу "0xcccccccc" обратилась к памяти по адресу "0xcccccccc". Память не может быть "read").
Из дистрибутива распаковал explorer.exe, убедился, что несмотря на одинаковые версии файлов (6.0.2900.5512) размер файла в системной папке почти в два раза меньше файлика из дистрибутива (чуть больше 1Mb и чуть больше 2Mb соответственно), ну и контрольные суммы естественно не совпадают.
Заменил explorer.exe из папки Windows файлом из дистрибутива, перезагрузился - все стало в порядке. Но после следующей перезагрузки explorer.exe снова изменил размер и снова стал вылетать с ошибками.
Предполагаю, что его изменяет нечто зловредное.
В системе стоит KIS 2011. Полная проверка ничего не выявила.
DrWeb CureIT запущенный в защищенном режиме также ничего не обнаружил.
Прошу помощи. Логи прикладываю.
Добавлено. Еще, одновременно с началом вылетов эксплорера в системных логах стали появляться две ошибки: 7023 "Служба "Службы IPSEC" завершена из-за ошибки
Не удается найти указанный файл. " и 7026 "Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: atapi iaStor4 jraid PCIIde"
7023 перестала появляться после остановки мною службы, а 7026 победил удалением всех устройств с ошибкой.
Предполагаю, что все эти события связаны.
Последний раз редактировалось Seanis; 13.11.2010 в 18:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в АВЗ -
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('g:\windows\explorer.exe','');
QuarantineFile('G:\explorer.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 59
Выслал.
Что характерно, после выполнения первого скрипта комп перезагрузился, и последующая загрузка системы прошла без ошибок.
Странно. Может потому, что KIS был "заглушен"?
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('G:\explorer.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнил.
После перезагрузки не сразу получилось загрузиться - пришлось вручную переопределить загрузочный диск.
Логи прикладываю.
-
-
-
Junior Member
- Вес репутации
- 59
До выполнения последнего скрипта загрузка проходила нормально (кажется две перезагрузки), после выполнения скрипта комп ушел в ребут и снова нормально загрузился. Но вот после подготовки и высылки логов снова перезагрузился и вновь при загрузке эксплорер дважды вылетает с ошибкой (в момент появления полоски панели задач). Тем не менее, в диспетчере задач explorer.exe присутствует, процессор грузит, и после пары минут ожидания снова панелька задачь появляется и три раза эксплорер падает с ошибкой, чтобы после этого вновь загрузиться. Панель задач также появилась. Без иконок програм в трее правда (за исключением индикатора сети и динамика).
И, что характерно, в журнале событий чисто - ни единой ошибки или предупреждения.
Странно.
Кстати explorer.exe, который в папке winsows, вроде правильный, контрольные суммы совпадают с файлом из дистрибутива
-
-
-
Junior Member
- Вес репутации
- 59
-
удалите в mbam
Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
G:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
-
-
Junior Member
- Вес репутации
- 59
Сделал, всё то же самое.
Добавлено через 25 минут
Все, я решил проблему. Последовательно удалял установленные и обновленные недавно программы (их не очень много) и чистил систему от их следов.
Дело оказалось в TrueLaunchBar 5.0. Снёс, 4 раза перезавгрузил - проблем нет.
Поставил TLB4.4, также несколько раз перезагрузил - проблем нет.
Спасибо огромное за помощь.
Но странно, что отличная и давно используемая мной программа вела себя как зловред (модифицировала explorer.exe)
Дальше буду общаться с атором программы.
Последний раз редактировалось Seanis; 14.11.2010 в 06:56.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-