Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.58/71: Рейтинг темы: голосов - 71, средняя оценка - 4.58
Zhelka
0 / 0 / 0
Регистрация: 28.07.2010
Сообщений: 7
1

Последствия вирусной атаки: iexplorer.exe; explorer.exe - application error. Как вылечить?

28.07.2010, 11:00. Просмотров 12837. Ответов 11
Метки нет (Все метки)

Здравствуйте.
Помогите справиться с проблемой.
Поймала вирус. Теперь не открывается ни один из интернет браузеров: при попытке открыть, окно либо сразу сворачивается через 2-3 сек, либо вылезает сообщение "iexplorer.exe - application error".
Также возникли проблемы с explorer.exe: при включении (перезагрузке) появляется окно с информацией об обнаружении ошибки в файле explorer.exe. Иногда при этом десктоп не загружается, приходится эксплорер вызывать через Task Manager.
Помогите, пожалуйста, работа стоит, а сроки поджимают.
Логи прилагаю.
ЗЫ: спасибо, что вы есть :-)
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (19.5 Кб, 220 просмотров)
Тип файла: zip virusinfo_syscure.zip (19.8 Кб, 79 просмотров)
Тип файла: zip info.zip (5.4 Кб, 65 просмотров)
Тип файла: zip log.zip (6.1 Кб, 115 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
28.07.2010, 11:00
Ответы с готовыми решениями:

Незакрывается окно iexplorer.exe , как быть ?
Незакрывается окно iexplorer.exe , помогите !!! вчера было все нормально , а...

Ошибки explorer.exe и drwtsn32.exe при работе с word и excel файлами
компьютер очень медленно работает, а после открытия word выдает ошибку...

Процессы explorer.exe и chrome.exe СИЛЬНО тормозят
Здравствуйте. Началась это около двух недель назад. Браузер стал странно...

Процессы explorer.exe и chrome.exe сильно тормозят
Здравствуйте. Началась это около двух недель назад. Браузер стал странно...

Процессы explorer.exe, svhost.exe нагружают ЦП до 100%
Пару дней назад заметил, что процессы explorer.exe, svhost.exe начали грузить...

11
FilipFray
2666 / 654 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
28.07.2010, 11:41 2
На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"
Код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Opera\setupapi.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
 QuarantineFile('C:\WINDOWS\system32\ctbvjh.exe','');
 QuarantineFile('C:\WINDOWS\system32\bff5b56c.exe','');
 QuarantineFile('C:\Documents and Settings\angela\Start Menu\Programs\Startup\monoca32.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.bak','');
 QuarantineFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
 QuarantineFile('C:\WINDOWS\System32\mssfc.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\Documents and Settings\angela\Start Menu\Programs\Startup\monoca32.exe');
 DeleteFile('C:\WINDOWS\system32\bff5b56c.exe');
 DeleteFile('C:\WINDOWS\system32\ctbvjh.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('C:\Program Files\Opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните после перезагрузки
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив с именем quarantine.zip, отправьте его на StanlyTvidelWERmail.ru, где WER = @ Укажите ссылку на свою тему.

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip ~ 400 kb Распакуйте файлы из архива на локальный диск.
Запустите HajackThis. Нажмите “Do a system scan and save a logfile”. Вследствие чего, в папке с HajackThis, появится файл hijackthis.log, который следует добавить к вашему сообщению.
0
Zhelka
0 / 0 / 0
Регистрация: 28.07.2010
Сообщений: 7
28.07.2010, 13:06  [ТС] 3
Сделано.
Вот лог с HiJackThis:
0
Вложения
Тип файла: log hijackthis.log (7.2 Кб, 228 просмотров)
Zhelka
0 / 0 / 0
Регистрация: 28.07.2010
Сообщений: 7
28.07.2010, 13:35  [ТС] 4
Всё работает.
Спасибо вам огромное!
0
FilipFray
2666 / 654 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
28.07.2010, 14:25 5
Код
C:\Program Files\Opera\setupapi.dll, C:\Program Files\Internet Explorer\setupapi.dll - инфицирован Trojan.Win32.BHO.aihr (kaspersky)
C:\WINDOWS\system32\ctbvjh.exe, C:\WINDOWS\system32\bff5b56c.exe - инфицирован Backdoor.Win32.Shiz.gen (kaspersky)
C:\WINDOWS\system32\sfcfiles.dll - infected with Trojan.WinSpy.921 (dr.web)
Код
C:\WINDOWS\system32\sidebar32.exe, C:\Documents and Settings\angela\Start Menu\Programs\Startup\monoca32.exe - отправлены в вир.лаб.
На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"
Код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Повторите логи (virusinfo_syscheck.zip, virusinfo_syscure.zip, hijackthis, RSIT).

Добавлено через 11 минут
Перед повторением логов обновите базы AVZ.
1
Zhelka
0 / 0 / 0
Регистрация: 28.07.2010
Сообщений: 7
28.07.2010, 15:22  [ТС] 6
Новые логи с HiJackThis, RSIT и AVZ
0
Вложения
Тип файла: log hijackthis.log (6.8 Кб, 38 просмотров)
Тип файла: zip info.zip (5.1 Кб, 29 просмотров)
Тип файла: zip log.zip (7.8 Кб, 27 просмотров)
Тип файла: zip virusinfo_syscheck.zip (18.5 Кб, 27 просмотров)
Тип файла: zip virusinfo_syscure.zip (18.8 Кб, 24 просмотров)
FilipFray
2666 / 654 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
28.07.2010, 16:18 7
Соблюдайте осторожность при редактировании реестра. Некорректные действия могут вызвать крах системы.

Код
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SFC
удалите раздел LEGACY_SFC

Для удаления раздела LEGACY_SFC нужно выставить права доступа. Щелкните по разделу LEGACY_SFC правой кнопкой и выберите пункт "Разрешения..." Выделите группу Все и нажмите кнопку Дополнительно. Снова выделите группу Все и нажмите кнопку Изменить. Поставьте галку на пункте Полный доступ и сохраните изменения.


На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"
Код
begin
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Повторите virusinfo_syscure.zip, log.zip.
0
Zhelka
0 / 0 / 0
Регистрация: 28.07.2010
Сообщений: 7
28.07.2010, 17:54  [ТС] 8
Раздел удалила.
При перезагрузке копм опять выдал предупреждение об обнаруженной ошибке.
Повторила ещё раз логи:
0
Вложения
Тип файла: zip log.zip (7.7 Кб, 26 просмотров)
Тип файла: zip virusinfo_syscure.zip (18.8 Кб, 21 просмотров)
FilipFray
2666 / 654 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
29.07.2010, 10:35 9
На время манипуляций отключите защитное ПО, интернет\сеть.

MD5: 49582E999155CDF2812A1D645CAF0831
http://ifolder.ru/18702138 (~ 2 Mb) - загрузите программу Ice Sword. Распакуйте в отдельную папку.
Запустите программу Ice Sword. В левом нижнем углу нажмите на пункт "File". Появится аналог проводника Windows. Путем разворачивания крестика (+) перейдите к файлу C:\WINDOWS\system32\sfcfiles.bak. Нажмите не нем правой кнопкой мыши, в контекстном меню выберите пункт "force delete".
Перезагрузите компьютер.

Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"
Код
begin
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Повторите log.zip и virusinfo_syscure.zip.

Цитата Сообщение от Zhelka
При перезагрузке копм опять выдал предупреждение об обнаруженной ошибке
Снимок ошибки покажите.
0
Zhelka
0 / 0 / 0
Регистрация: 28.07.2010
Сообщений: 7
29.07.2010, 14:48  [ТС] 10
Ошибка больше не появлялась, а в тот единственный раз снимок я, увы, не сделала.
Новые логи прикладываю.
0
Вложения
Тип файла: zip log.zip (7.7 Кб, 34 просмотров)
Тип файла: zip virusinfo_syscure.zip (19.0 Кб, 23 просмотров)
FilipFray
2666 / 654 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
29.07.2010, 15:55 11
Ничего подозрительного. Лечение завершено.
1
Zhelka
0 / 0 / 0
Регистрация: 28.07.2010
Сообщений: 7
29.07.2010, 21:31  [ТС] 12
Спасибо вам огромное!!!
0
29.07.2010, 21:31
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
29.07.2010, 21:31

Ошибки explorer.exe и drwtsn32.exe
При работе компьютера вылетают ошибки explorer.exe и drwtsn32.exe после чего он...

Ошибки explorer.exe и drwtsn32.exe
При загрузке компьютера Ошибки explorer.exe и drwtsn32.exe

Ошибки explorer.exe и drwtsn32.exe
Добрый день! Прошу помощи. Периодически появляются ошибки explorer.exe и...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
12
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru