Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Explorer.exe - обнаружена ошибка (http://forum.oszone.net/showthread.php?t=194920)

dsokolow 24-12-2010 18:15 1573743
Explorer.exe - обнаружена ошибка
 
Вложений: 1
Здравствуйте.

Появилась такая проблема. Иногда (не часто) возникает окно "Explorer.exe - обнаружена ошибка. Приложение будет закрыто." После этого на несколько секунд пропадает все с рабочего стола, и заново загружается (видимо перезагружается explorer.exe). Кроме того, при попытке установки MS SQL Server 2005 Express возникает ошибка 1603 и он не устанавливается. Есть подозрение, что это либо какой-то вирус либо последствия ранее удаленного вируса. Антивирусами ничего не находится. Посмотрите, пожалуйста, можно ли что-то с этим сделать. Система Windows XP Professional SP3.

С уважением,
Дмитрий Соколов.

zirreX 24-12-2010 20:24 1573842
Здравствуйте!

Радмин сами устанавливали?

Проверьте файл на www.virustotal.com
Код:
C:\Program Files\VPets\VPets.exe
Дайте ссылку на результат проверки файла.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "

Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\System Volume Information\_restore{212839DD-A758-437F-BB62-2068E2FFDD6E}\RP138\A0052085.dll','');
 QuarantineFile('C:\Documents and Settings\Comp6\DoctorWeb\Quarantine\NTInvisible.dll','');
 DeleteFile('C:\Documents and Settings\Comp6\DoctorWeb\Quarantine\NTInvisible.dll');
 DeleteFile('C:\System Volume Information\_restore{212839DD-A758-437F-BB62-2068E2FFDD6E}\RP138\A0052085.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Пофиксите в hijackthis
Поставить галочки напротив указанных строк и нажать Fix Checked
Код:
R3 - URLSearchHook: (no name) -  - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Подготовьте лог RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Обновите Adobe Reader до последней версии.

dsokolow 27-12-2010 13:15 1575477
Вложений: 1
1) Да, RAdmin сам устанавливал
2) C:\Program Files\VPets\VPets.exe - такого файла на диске нет, видимо когда-то был установлен, потом удален
3) Выполнил 2 скрипта, выслал quarantine.zip
4) hijackthis - пофиксил
5) Malwarebytes - лог прилагаю
6) Adobe Reader обновляю

zirreX 27-12-2010 14:24 1575514
Удалите в MBAM:

Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{456A3B12-8FE6-41AE-9E5C-5E55F0712C09} (Rogue.PCDefender) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые файлы:
c:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054629.dll (Trojan.SpyAgent) -> No action taken.
c:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054655.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054658.exe (Trojan.Agent) -> No action taken.
d:\ExtHDD\Distr\AV\avz4\quarantine\2010-12-27\avz00001.dta (Trojan.SpyAgent) -> No action taken.
d:\ExtHDD\Distr\AV\avz4\quarantine\2010-12-27\avz00002.dta (Trojan.SpyAgent) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054676.dll (Hacktool) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054660.exe (PSW.Tibia) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054662.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054665.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054667.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054669.exe (PUP.PWDump) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054671.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054675.dll (Hacktool) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054677.exe (PUP.PWDump) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054679.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054684.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054686.EXE (Hacktool.Agent) -> No action taken.
Лог RSIT прикрепите.

dsokolow 27-12-2010 17:46 1575656
Вложений: 1
Лог RSIT

zirreX 27-12-2010 18:43 1575698
C:\WINDOWS\system32\log.txt - удалите.

Больше проблем не вижу.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

dsokolow 28-12-2010 13:33 1576224
Ошибка все равно не пропала, видимо придется переставлять винду.
Но все равно спасибо за помощь.

zirreX 28-12-2010 15:16 1576318
При каких действиях происходит ошибка Explorer.exe?

Цитата:
Цитата dsokolow
Кроме того, при попытке установки MS SQL Server 2005 Express возникает ошибка 1603»
http://support.microsoft.com/kb/968749/ru

McAfee Security Scan Plus советую деинсталлировать.

dsokolow 28-12-2010 18:17 1576445
Это я уже пробовал, не помогло.

В результате, SQL Server 2005 Express встал только после полного сноса Office 2007. Сносил причем средством, которое чистит все за собой (MicrosoftFixit50154.msi). Кроме того почистил все что мог с помощью msicuu2.exe. Пропала или нет ошибка эксплорера пока не понял. Так что винду пока переставлять не пришлось, и то хорошо.

Спасибо.

zirreX 28-12-2010 19:15 1576480
Не заметили при каких действиях происходила ошибка Explorer.exe?
Также посмотрите отчет об ошибке в журнале событий, Пуск -- выполнить -- ввести eventvwr.msc -- приложение, найдите ошибку и приведите текст ошибки.

dsokolow 13-01-2011 12:24 1587645
А в том то и дело, что она происходит независимо от каких-либо действий по своему усмотрению. Иногда замечал, что при безопасном отключении внешнего диска, иногда просто при работе или запуске какой-нибудь программы. Сам хочу понять логику возникновения, но пока никакой особой системы не выявил. За логами послежу, сейчас в логе приложений никаких ошибок за вчерашний день например вообще нету, хотя вчера она пару раз возникала. Когда в следующий раз появится - просмотрю все логи.

dsokolow 14-01-2011 16:37 1588721
Вот какая ошибка возникает при этом в логе приложений:

Код (ID): 1000

Ошибка приложения explorer.exe, версия 6.0.2900.5512, модуль unknown, версия 0.0.0.0, адрес 0x029a29f0.

Katharsis 15-01-2011 01:08 1589019
скачайте и установите последнюю версию K-Lite Codec Pack
Цитата:
Цитата dsokolow
модуль unknown »
посмотрите более старые записи, возможно в них будет указан вызывающий ошибку модуль


Время: 11:33.

Время: 11:33.
© OSzone.net 2001-2025