[решено] Не запускаются exe файлы

akok · Отправлено: **09:55, 26-08-2009** | #2

Цитата:

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]

н-да.

Попрбуем запустить exe файлы

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ExecuteRepair(1);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее можно прочитать в руководстве

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Michael · Отправлено: **11:32, 26-08-2009** | #3

akok, скрипт не помог - exe файлы по прежнему не запускаются. Поэтому не работает combofix - сначала он спросил как запустить iexplore.exe (я ему скормил родной - C:\Program Files\Internet Explorer\), потом спросил как запустить hidec.exe - попробовал ему этот файл скормить, но вылезла ошибка - см. аттач. Файл hidec.exe спрашивался несколько раз и каждый раз с ошибкой, поэтому в итоге отказался от дальнейших действий - на запрос нажал нет. Поэтому же не запускал gmer - по принципу как бы не навредить.
Или напрасно я все отменил и все шло хорошо?
Спасибо

akok · Отправлено: **11:47, 26-08-2009** | #4

Попробуйте в безопасном режиме запустить.

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение

Michael · Отправлено: **12:07, 26-08-2009** | #5

akok, все что делал - делал только в безопасном режиме. dds.scr не работает - также спрашивает с помощью чего открывать, указываю сам файл на рабочем столе. Потом просит cmd.exe - указываю cmd.exe, появляется окно консоли с текущим путем c:\temp\rarsfx1\, после чего секунд через 20 процесс dds.scr завершается (видно по диспетчеру задач) и никаких файлов не появляется, окно консоли не закрывается автоматически. Куда дальше копать?

akok · Отправлено: **12:29, 26-08-2009** | #6

хм.

Продолжим.

Скачиваем полиморфную версию AVZ и готовим логи.

Потом попробуйте:
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. (если не запускается переименуйте во что-то нейтральное.... ddd.com например)

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Michael · Отправлено: **14:08, 26-08-2009** | #7

akok, вот логи от полиморфного avz. Чуть позже выложу остальные

Michael · Отправлено: **14:20, 26-08-2009** | #8

А вот логи от rsit

akok · Отправлено: **14:55, 26-08-2009** | #9

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM by OldTimer (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
H:\imwdrm.exe
F:\AutoRun.exe
G:\uclu.pif
G:\AutoRun.exe
G:\otkmqg.exe
C:\WINDOWS\system32\kerne1.exe
C:\WINDOWS\system32\system.exe
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\system32\svchosst.exe
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d8bf38d-f11f-11dd-b4c4-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2fc8e529-2e36-11de-b51d-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33005a4d-e493-11dd-aa83-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33005a50-e493-11dd-aa83-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e632-e16f-11dd-aa79-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e635-e16f-11dd-aa79-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e637-e16f-11dd-aa79-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e638-e16f-11dd-aa79-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e639-e16f-11dd-aa79-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e63a-e16f-11dd-aa79-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a7fdeda-0f98-11de-b4f3-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7bdeb47a-50e1-11de-b54c-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7933baf-7816-11de-b57e-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2f45510-e1ff-11dd-aa7a-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d63d0f38-c116-11dd-aa38-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e619cf9e-e2e8-11dd-aa80-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e619cfa1-e2e8-11dd-aa80-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e619cff9-e2e8-11dd-aa80-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e619cffd-e2e8-11dd-aa80-000d8709f7d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e887ab3b-fcca-11dd-b4dc-000d8709f7d8}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

И попробуйте воспользоваться рекомендациями из этой темы.

Michael · Отправлено: **21:44, 26-08-2009** | #10

akok, вот содержимое log-файла программы OTM by OldTimer (содержимое окна под правой зеленой панелью скопировать не смог - все процессы были звершены и я ничего не мог открыть вообще чтобы куда-то этот текст вставить):

Цитата:

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder H:\imwdrm.exe not found.
File/Folder F:\AutoRun.exe not found.
File/Folder G:\uclu.pif not found.
File/Folder G:\AutoRun.exe not found.
File/Folder G:\otkmqg.exe not found.
File/Folder C:\WINDOWS\system32\kerne1.exe not found.
File/Folder C:\WINDOWS\system32\system.exe not found.
File/Folder C:\WINDOWS\system32\sysmgr.exe not found.
File/Folder C:\WINDOWS\system32\svchosst.exe not found.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d8bf38d-f11f-11dd-b4c4-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2d8bf38d-f11f-11dd-b4c4-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2fc8e529-2e36-11de-b51d-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fc8e529-2e36-11de-b51d-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33005a4d-e493-11dd-aa83-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33005a4d-e493-11dd-aa83-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33005a50-e493-11dd-aa83-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33005a50-e493-11dd-aa83-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e632-e16f-11dd-aa79-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43b4e632-e16f-11dd-aa79-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e635-e16f-11dd-aa79-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43b4e635-e16f-11dd-aa79-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e637-e16f-11dd-aa79-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43b4e637-e16f-11dd-aa79-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e638-e16f-11dd-aa79-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43b4e638-e16f-11dd-aa79-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e639-e16f-11dd-aa79-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43b4e639-e16f-11dd-aa79-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43b4e63a-e16f-11dd-aa79-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43b4e63a-e16f-11dd-aa79-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a7fdeda-0f98-11de-b4f3-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5a7fdeda-0f98-11de-b4f3-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7bdeb47a-50e1-11de-b54c-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7bdeb47a-50e1-11de-b54c-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7933baf-7816-11de-b57e-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a7933baf-7816-11de-b57e-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2f45510-e1ff-11dd-aa7a-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b2f45510-e1ff-11dd-aa7a-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d63d0f38-c116-11dd-aa38-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d63d0f38-c116-11dd-aa38-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e619cf9e-e2e8-11dd-aa80-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e619cf9e-e2e8-11dd-aa80-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e619cfa1-e2e8-11dd-aa80-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e619cfa1-e2e8-11dd-aa80-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e619cff9-e2e8-11dd-aa80-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e619cff9-e2e8-11dd-aa80-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e619cffd-e2e8-11dd-aa80-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e619cffd-e2e8-11dd-aa80-000d8709f7d8}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e887ab3b-fcca-11dd-b4dc-000d8709f7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e887ab3b-fcca-11dd-b4dc-000d8709f7d8}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Администратор
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 859384 bytes
->FireFox cache emptied: 20285605 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133863 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 22.24 mb

OTM by OldTimer - Version 3.0.0.6 log created on 08262009_221155

Батник и reg-файл из приведенной ссылки (Восстановление файловых ассоциаций ) ничего не дали