Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   не загружается в безопасном режиме, explorer не запускается (http://forum.oszone.net/showthread.php?t=120871)

explorer isnt working 23-10-2008 23:30 932041

не загружается в безопасном режиме, explorer не запускается
 
Вложений: 6
Не запускаются AVPtool, AVZ.Последний-ни одним из способов, описанных на форуме. Реестр-Shell exlorer.exe. Прописывание полного пути не помогает. Переменные-приведены в соответствие. Файл Explorer.exe- в папкеwindows,.Userinit.exe-присутствует. В ветке Image File Execution Options -чисто.Combofix при создании логов виснет (до утра стоял ноут). Система восстановления была отключена. На целостность системных файлов проверку проходит-бар доходит до конца, и проверка заканчивается без каких-либо сообщений.Но очень долго висит в начале, потом долго проверяет на целостность-около часа.

Cureit нашел в первый запуск вирус sector 5, при повторной проверке Program.Ps.Exec.170.После последней проверки нет ничего (?).

Безопасный режим пофиксился . Теперь запускается. Картина-та же. Че делать?

Pili 24-10-2008 09:47 932218

Цитата:

Цитата explorer isnt working
Cureit нашел в первый запуск вирус sector 5, при повторной проверке Program.Ps.Exec.170.После последней проверки нет ничего (?). »

Cureit запускался в безопасном режиме и проводилась полная проверка? Если нет - повторите сканирование с помощью cureit, желаетльно провериться по этим рекомендациям или этим, возможно вам потребуется восстановить системные файлы с помощью sfc /scannow

Скачайте OTMoveIt2 by OldTimer, сохраните на рабочий стол, запустите
Временно отключите антивирус. Выделите и скопируйте текст ниже (Ctrl+C)
Код:

[kill explorer]
C:\explorer.scf
G:\activexdebugger32.exe
purity
EmptyTemp
[start explorer]

В OTMoveIt2 под панелью "Paste List of Files/Folders to Move" (под желтой панелью) выберите “вставить” и нажмите кнопку “MoveIt!”. Выделите и скопируйте (Ctrl+C) текст из окна под панелью “Results” (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись «deleted on reboot», потребуется перезагрузка. После перезагрузки откройте папку “C:\_OTMoveIt\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол как Combo-Fix.exe. (т.е. переименуйте)
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2)) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку Combo-Fix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите Combo-Fix.exe, когда процесс завершится запакуйте C:\Combo-Fix.txt и прикрепите к сообщению

Попробуйте сделать логи AVZ, если не получится, скачайте эту версию AVZ

Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи и прикрепите к сообщению

explorer isnt working 24-10-2008 23:37 932953

Вложений: 2
Спасибо за ответ. Так и делал,т.к прошелся по форуму по теме не запуска експлорера. Сейчас проделаю все повторно, плюс то что еще не сделал.Рабочий стол не загружается в нормальном режиме, только фон.


1 OTMoveIt2 by OldTimer-незапускается никак

2Combofix после окончания проверки при создании логов зависает.

3 Temp.pif не запускается никак

4. OTViewIt- не запускает сканирование с сообщением error loading process libraries. Чистку можно запустить.

В папке Windows снова найденo Cureitom: [обьект-Psexesvc.exe(в свойствах этого файла такие данные: авторские права-mark russinovich, Описание-PsExec Service, название продукта-Sysinternals PsExec) ; статус Program.Ps.Exec.170]

Pili 25-10-2008 08:12 933086

explorer isnt working, Мда... какие-то логи надо получить... лог combofix не полный, после сканирования MBAM вы кн. "Remove Selected" нажимали? Похоже нет, т.к. в логе -> No action taken - или лог скопировали до того как кн. нажали.
При лечении файлового вируса надо повторять сканирование (лучше с LiveCD) до тех пор, пока антивирус не перестанет обнаруживать зловреды.
avz.exe в автозагрузку сами прописывали?

Попробуйте деинсталлировать Unlocker и, временно, антивирус и файервол, возможно защ. софт блокирует запуск утилит, включите встроенный брандмауэр.

Очистите временные файлы с помощью ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска

Скачайте Avenger, сохраните на рабочий стол, распакуйте и переименуйте в avng.exe, Если возможно, загрузитесь в безопасном режиме, запустите Avenger, поставьте галочки "Scan for rootkits" и "Automatically disable any rootkits found", скопируйте текст ниже в окно выполнения скрипта
Код:

Files to delete:
C:\explorer.scf
G:\activexdebugger32.exe

Нажмите "Execute", после перезагрузки откроется лог, вложите его в следующее сообщение.

Попробуйте запустить AVPTool, Combofix и AVZ (можно версию temp.pif) в безопасном режиме.

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

explorer isnt working 25-10-2008 10:26 933131

AVZ Запускался с PeBuoildera(тоже, что лайф сд) неоднократно. AVZ прописывал в автозагрузку с помощью Reg Organizer в hkey_ Local_machine.. RUN(там у меня Eset еще).Unlocker я поставил уже после, для удаления блокированных файлов с винта.Удалю. АVP & AVZ я писал, что не запускается ни в каком режиме, имея ввиду,что все что вы написали,я пробовал делать и в безопасном режиме,конечно. Сомвофих виснет и в без-м режиме. MBAM-ом я почистил ту ветку реестра в отчете.Повторно МВАМ ничего не нашел.Файрвол только виндосовский.Приду с работы, продолжу.Спасибо.

Pili 25-10-2008 10:43 933142

Цитата:

Цитата explorer isnt working
AVZ Запускался с PeBuoildera(тоже, что лайф сд) неоднократно »

бессмысленно запускать AVZ c LiveCD, т.к. проверяется текущая ОС. AVZ убеоите из автозагрузки и попробуйте запустить версию AVZ - temp.pif
Цитата:

там у меня Eset ещё
По логам HJT есть что-то от Symanec - удалите.
АVP & AVZ я писал, что не запускается ни в каком режиме.
Проверьтесь с помощью F-Secure Online Scanner, сканер умеет лечить, если зловреды будут найдены, нажмите Submit samples to F-Secure и далее Automatic cleaning, после лечения нажмите Show report, сохраните лог и выложите в сообщение.
Попробуйте проверить систему с помощью Kaspersky WebScanner. После окончания проверки сохраните, заархивируйте лог файл и прикрепите к сообщению.

explorer isnt working 26-10-2008 02:21 933795

Вложений: 6
avz(temp.pif,123.pif,..cmd,Game.exe),AVPTool- не запускаются ни в каком режиме.Также не могу запустить диспетчер задач: пишет,что не инициализируется консоль управления (ММС).После каждой чистки Cureit-om ,через пару перезагрузок и\или запуска программ каких-то, снова появляется Program.Ps.Exec.170. Мастер настройки сети не запускается. На рабочий стол выхожу через ctrl+alt+del, из диспетчера задач.К интернету я не могу подключится.

explorer isnt working 26-10-2008 02:27 933816

Вложений: 1
Однако.. После повторной проверки той же версией Cureit. Отправил файлы вебу. Запустил с диска Microsoft Diagnostics and Recovery Toolset ативир АVZ. Понаходил он всяко-разно, удалив в карантин файл ехплорер.ехе. Xp у меня ноутбучная(тобишь лиценз). Установка поверх привела к необходимости активации,а параметров инета нема. Установил систему в другую папку, благо My Doc был на другом диске. Система восстановления с дисков поддержки ноута подразумевает востановление состояния ноута на момент продажи. Мне кааажется, что проблема не вирях, или не только в них.

Pili 27-10-2008 12:41 934836

Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
       
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Цитата:

avz(temp.pif,123.pif,..cmd,Game.exe),AVPTool- не запускаются ни в каком режиме
У вас остались драйвера от Eset, Symantec, Касперского, соответственно м.б. конфликты. Деинсталлируйте Unlocker, уберите AVZ из автозагрузки, временно деинсталлируйте Symantec AntiVirus - доп. воспользуйтесь Norton Removal Tool, по логам у вас есть ещё не удаленная служба Norton Unerase Protection (NProtectService) и в планировщике заданий C:\WINDOWS\tasks\Norton SystemWorks One Button Checkup.job - удалите.
Деинсталлируйте xp-AntiSpy
C:\cleanup.exe сами в автозагрузку ставили?
Отключите и удалите PSEXESVC - пуск - выполнить
Код:

sc stop PSEXESVC
sc delete PSEXESVC

Удалите C:\WINDOWS\PSEXESVC.EXE, поищите на дисках activexdebugger32.exe и удалите.
Сохраните текст ниже как fix.reg, примените
Код:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"G:\activexdebugger32.exe"="-"
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44597900-d6e9-11db-b22d-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f0eb4a2-e20c-11db-b391-0016d4a3a091}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7697e27c-2745-11dd-b3b7-0016d4a3a091}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8712f221-d7b4-11db-b234-a125bca4d59a}]

Скачайте и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Проверьте C:\WINDOWS\system32\userinit.exe на virustotal.com, результат выложите
Повторите лог RSIT и попробуйте запустить AVZ

explorer isnt working 27-10-2008 16:21 935079

Хех.. C:\cleanup.exe-этого я не видел в автозагрузке совсем.Пару раз выскакивало cleanup в черно-пречерном :) экране перед загрузкой по моему системы, не обратил внимание. C:\WINDOWS\PSEXESVC.EXE-удалял неоднократно. Оно появлялось потом снова.Этот файл Cureit поначалу показывал как зараженный Program.Ps.Exec.170. Теперь у меня в системе Program.Ps.Exec.171. И зараженным показывает файл Combofit-Program.Ps.Exec.171. Спасибо за ответ. Как все сделаю,отпишу.

Pili 27-10-2008 16:49 935110

Запустите Avenger, скопируйте текст ниже в окно выполнения скрипта
Код:

Files to delete:
C:\WINDOWS\PSEXESVC.EXE
c:\cleanup.exe

Нажмите "Execute"

explorer isnt working 31-10-2008 14:59 939034

Переустановил поверх. Все работает. В системе чисто.


to PILI--спасибо за советы, но похоже, что в таких тяжелых случаях проще сразу ставить ось поверх и не заморачиваться.


Время: 11:01.

Время: 11:01.
© OSzone.net 2001-