ХР не загружается далее рабочего стола (нет процесса explorer, чистка cureit не помогла)

[fAnt1ksx]

Здравствуйте. Обращаюсь к вам за помощью.
Обнаружил вирус (gwdrive.exe , msvmiode.exe и прочее) - стоит kav9, начал ругаться на файлы .ехе в system32 и в documents and settings/admin/../Temp.
Пробовал убить через выключение автозагрузки в msconfig - не помогло. Качал cureit и пытался вылечить - находил, вроде удалял, но все равно вирус оставался.

ОС - XP SP3. Загружается до рабочего стола, но не загружается explorer (в процессах нет, как новую задачу запустить нельзя - не удается найти файл) и так и висит. В ветке winlogon в HKCU написан он и еще какой то файл csisf.exe. В безопасном режиме точно такая же проблема - висит на рабочем столе.

Загружаю файлы логов, жду ваших дальнейших указаний и заранее огромное спасибо!

[fAnt1ksx]

Как я понимаю, это аналог ветки http://216.246.91.178/~virusinf/showthread.php?p=749965. Сейчас делается проверка МВАВ, как закончится - сразу приложу лог-файл.

[regist]

fAnt1ksx, обновите пожалуйста базы AVZ и сделайте новые логи.

[light59]

+ сделайте такой лог http://virusinfo.info/showthread.php?t=40118

[fAnt1ksx]

Обновил, прикладываю логи.
Как просканирует GMER - выложу и его лог.

И еще добавлю, что проблема с загрузкой обнаружилась после обновления баз kav9 и последующей перезагрузки.

[fAnt1ksx]

Прикладываю лог GMER.

Жду помощи, заранее спасибо!

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится f5txgy9q.exe (gmer)

Код:

f5txgy9q.exe -del service kcpsucrpt
f5txgy9q.exe -del file "C:\WINDOWS\system32\zozgpyke.dll"
f5txgy9q.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kcpsucrpt"
f5txgy9q.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kcpsucrpt"
f5txgy9q.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kcpsucrpt"
f5txgy9q.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

Добавлено через 1 минуту

Удалите в МВАМ

Код:

Заражённые процессы в памяти:
c:\WINDOWS\system32\42.exe (Trojan.Agent) -> 1172 -> No action taken.

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Заражённые файлы:
c:\WINDOWS\system32\42.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\0389.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\3072.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\48719.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\645.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\647.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\93016.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\msvmiod0.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\msvmiode.exe (Worm.Email) -> No action taken.
c:\documents and settings\Admin\рабочий стол\avz4\avz4\quarantine\2010-12-28\avz00003.dta (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4Y1003S4\mobi[1].exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\4Y1003S4\mopi[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8URXRMW1\4444[1].exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8URXRMW1\qdjkndmm[1].bmp (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\PJMSFT8D\pgreat[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\TEOD9K8S\fawar[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\TEOD9K8S\fofo[1].exe (Trojan.Downloader) -> No action taken.
c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc1.exe (Worm.Email) -> No action taken.
c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc2.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc3.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1645522239-813497703-682003330-500\Dc4.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\application data\wiaserva.log (Malware.Trace) -> No action taken.

[fAnt1ksx]

Новый лог GMER.

В MBAM удалил все. Единственное что еще смущает - c:\WINDOWS\system32\innounp.exe


После перезагрузки картина все такая же. Может какая то служба не стартует?

[thyrex]

Новый лог МВАМ где после удаления?

Единственное что еще смущает - c:\WINDOWS\system32\innounp.exe

Нормальный файл

[fAnt1ksx]

Лог прилагаю.

> Нормальный файл
Смотрел по вирустотал, там некоторые антивирусы ругаются на него, обзывая трояном.

[thyrex]

Установите все новые обновления для Windows

Файл explorer.exe в папке Windows не обнаружили? Придется восстанавливать с дистрибутива или копировать с системы с аналогичным сервис паком

[fAnt1ksx]

Скопировал explorer.exe (и explorer.scf) из дистрибутива. Изначально после чистки компа файл explorer.exe отсутствовал. Поискал лишние записи в реестре, попробовал сделать восстановление через AVZ. Пробовал кучу разных способов - все безрезультатно...

Господа, помогите в решении проблемы, на нее я уже потратил 5 часов и все безрезультатно.

При запуске explorer.exe через командную строку, пишет что
C:\Documents and Settings\Admin>C:\WINDOWS\explorer.exe
Программа не умещается в памяти

У меня идеи лишь только - не стартует какая-то служба или нет нужных записей в реестре (были убиты антивирусом или моими кривыми попытками почиститься).

Добавлено через 1 час 36 минут

Друзья, огромная просьба помочь с восстановлением!

Проверял с помощью SFC проверка системных файлов, пробовал восстанавливать реестр, прогонял еще раз AVZ (он нашел файл %systemroot%\system32\x - я его удалил), прогонял cureit, mbab, gmer - ничего подозрительного не нашел. Искал какие-либо ветки по explorer.exe - ничего подозрительного кроме killist. В целом проверял записи в реестре, заменял файлы, что только не делал - ничего не помогает. Не верю что систему нельзя восстановить и придется переустанавливать.

Надеюсь на помощь, заранее спасибо!

Добавлено через 1 час 19 минут

Появилась мысль, что файл explorer.exe был помещен на карантин kav9. Ведь именно после обновления его баз и требования перезагрузки для включения новых модулей, у меня перестал загружаться рабочий стол и процесс explorer.exe.

Есть ли такая вероятность? Как можно проверить? Может стоит полностью удалить касперского (или выключить службу, убрать автозагрузку).

[thyrex]

Проверьте, не попал ли explorer.exe в список недоверенных для антивируса (или в сильные ограничения)

[fAnt1ksx]

Спасибо, буду проверять. Кроме подозрения на KAV и попытку сделать chkdsk /r у меня других вариантов больше в голове не рождается.

Добавлено через 8 часов 36 минут

Всем спасибо за помощь в лечении! Explorer.exe был на карантине у касперского, сейчас все работает!