Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Кто-то убил Explorer - подозрение на вирус. (заявка № 9921)

  1. #1
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39

    Thumbs up Кто-то убил Explorer - подозрение на вирус.

    Здравствуйте, уважаемые.

    Проблема следующая.

    Win XP Prof. SP2
    Не запускается процесс Explorer (не путать с IE). При загрузке системы появляется на мгновение (мигает таскбар) и пропадает (и визуально и из списка процессов). При ручном запуске - тоже самое: мигает на мгновение и умирает.

    На вирусы проверял (конечно с последними апдейтами):
    - Avira AntiVir (ничего не нашел)
    - AVZ (нашел только подозрение на трояна. см. лог)
    - Spybot S&D (нашел только нехорошие куки - почистил)
    - Hijackthis (нашел что-то, но я не понимаю значения этих строк - см. лог)


    Список процессов смотрю: Process Explorer

    Восстановление системы на помогло: ни из Safe Mode, ни из обычного сеанса.

    Последнее действие которое я сделал перед появлением ошибки - посещение сайта http://globs.org и скачивание (не установка) расширения External Editor для ThunderBird. Ссылку взял из статьи на IXBT: http://www.ixbt.com/soft/thunderbird_addons.shtml

    Помогите, плиз!
    Идеи?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Ваша версия AVZ устарела. Скачайте новую версию и сделайте логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    А как выполнить этот пункт:

    " Windows XP:
    Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
    Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
    Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
    Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК"."


    Если у меня нет Explorer'а и в принципе не могу зайти в свойства "Моего компьютера"? Чере панель управления это возможно сделать?

    [Update]

    Пока просто отключил сервис System Restore.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Чере панель управления это возможно сделать?
    Попробуйте, если не получиться, пока не страшно. Главное чтобы во время лечения не придумали сделать "откат".

  6. #5
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    Вот Логи. Заранее спасибо.

    Кстати, вот здесь есть ветка: http://forum.ixbt.com/topic.cgi?id=4:81492
    Так там многим помогает удаление Explorer.EXE из HKLM\Software\Microsoft\WindowsNT\CurrentVersion\I mage File Execution Options

    Так вот - это не мой случай. Нет там у меня ссылки на Explorer.exe

    PS: Сижу на работе и жду Ваших рекомендаций!
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипты в AVZ

    1.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ExecuteRepair(5);
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
     ExecuteRepair(16);
    RebootWindows(false);
    end.
    2.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\netware\NWWS2SLP.DLL','');
     QuarantineFile('D:\WINDOWS\system32\nwspool.dll','');
     QuarantineFile('C:\Soft\backup\Winrar backup\Loader.exe','');
     QuarantineFile('D:\WINDOWS\system32\drivers\ScFBPNT.SYS','');
     QuarantineFile('D:\WINDOWS\system32\Drivers\PROCEXP100.SYS','');
     QuarantineFile('D:\WINDOWS\system32\sstray.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    3.
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'virus.zip');
    end.
    Загрузите файл virus.zip из папки AVZ по этой ссылке.

  8. #7
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    Карантин закачал.

    Скрипты выполнил последовательно. После выполенения каждого - перезагрузка.

    Жду инструкций.

    [Update]

    Loader.exe - безопасный файл. я им запускаю винраровский бэкапщик (через батники) в фоновом режиме. Написал в пару строчек мой хороший приятель. Пользуюсь давно.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Скрипты выполнил последовательно. После выполенения каждого - перезагрузка.
    Так и должно быть.
    Explorer работает нормально?

  10. #9
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    нет

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от ddkk Посмотреть сообщение
    Последнее действие которое я сделал перед появлением ошибки - посещение сайта http://globs.org и скачивание (не установка) расширения External Editor для ThunderBird. Ссылку взял из статьи на IXBT: http://h**p://www.ixbt.com/soft/thun...d_addons.shtml
    Аддонзы для модзиллов нужно только отсюда брать: https://addons.mozilla.org/
    Посмотрим-ка ещё Ваш Ескплорер
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('explorer.exe','');
    end.
    Карантин закачайте, плиз.

  12. #11
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    Вот все новые логи. Explorer в карантин не копируется - лог прилагается.
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    D:\WINDOWS\system32\ooscrsav.scr - Вы сами ставили в автозапуск?
    D:\WINDOWS\Explorer.EXE - пришлите его как написано в правилах.

  14. #13
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    это скринсейвер от O&O Defragmentation - получается, что сам.

    (странно что он в автозапуске стоит. я не против его удалить)

  15. #14
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    Explorer.exe не добавляется в карантин. нет доступа.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    А в безопасном режиме?

  17. #16
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    В безопасном режиме руками в тотал коммандере скопировал. Щас вышлю. Зип архив. Пароль - virus.

    [Update]
    Выслал
    Последний раз редактировалось ddkk; 21.05.2007 в 22:25.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    @ddkk
    не знаю, порадует ли Вас эта новость, но файл оригинальный от МС .
    EDIT: Можете посмотреть, что записал Винд в протоколе событий (см. по времени запуска системы, т.е. когда Explorer.ехе запускался и уходил в никуда) ?
    Мысль вслух: почему-то я всегда был уверен, что Винда без процесса Explorer.ехе вообще работать не может. Значит может. Или что-то заменяет этот процесс. Но что?
    Последний раз редактировалось Rene-gad; 21.05.2007 в 22:51.

  19. #18
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    2Rene-gad

    конечно меня эта новость не радует... Делать-то что?
    Какая-то новая зараза?

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    В том то и дело, что это скорее всего не зараза. Возможно зараза была, и это её последствия...
    Последний раз редактировалось Макcим; 21.05.2007 в 22:57.

  21. #20
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    13
    Вес репутации
    39
    Странно. Не заметил момента ее удаления. На каком этапы мы избавились от нее?

    Завтра попробую восстановить систему с установочного диска. Если не поможет - переустанавливать систему...

    Блин. И антивирус включен и пользуюсь только фаерфоксом (вместо IE) и время от времени АVZ включаю и все последние обновления на ХП стоят, а все-рано гадости пролазят всякие...

  • Уважаемый(ая) ddkk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 05.12.2011, 15:41
    2. Подозрение на вирус. Неудаляемый файл на флешке.
      От Ржанников Андрей в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.04.2010, 22:00
    3. Подозрение на вирус файл Data.exe
      От fi9hter в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.04.2010, 21:15
    4. Вирус explorer.dll и файл userinit.exe [Trojan.Win32.Cidox.agwa ]
      От PavelDP в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:47
    5. Подозрение на вирус. Файл kiss.exe
      От Vjick в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2008, 01:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00334 seconds with 17 queries