Крах при взаимодействии с .exe - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Крах при взаимодействии с .exe (http://forum.oszone.net/showthread.php?t=128368)

Крах при взаимодействии с .exe

При попытке взаимодействия с любыми .exe файлами вылетает ошибка explorer.exe, а затем drwtsn32.exe, потом все окна виснут и приходится завершать процессы и перевходить под своей учеткой.
Проблема проявляется если нажать правой кнопкой на exe-файл, если попытаться, выделив файл, нажать Ctrl+C, или если правой кнопкой контекстное меню все же появилось - при нажатии на "Свойства" проблема проявляется.
Переустановил ОСь, пару дней поработала. Сегодня опять такая чертовщина начилась.
KIS 2009 и avast ничего в системе не нашли.
На одном разделе храню установочные файлы с софтом. Думал может одну и ту же программу зараженную ставлю ? Но антивирусы в этом моем "складе" ничего плохого не нашли.

p.s. Восстановление отключено. ОСь - WinXP SP3, никакие заплатки не ставил.
Во время сохранения логов все программы были отключены, из диспечера насильно ничего не завершалось.

Analog, Здравствуйте.
1. Вы пользуетесь какой-то сборкой windows.
2. Зачем создавать темы на различных форумах?
3. Правила внимательно читали? В правилах есть пункт по включению AVZM
4. С помощью cureit систему проверяли?
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

Цитата:

Цитата Analog

ОСь - WinXP SP3, никакие заплатки не ставил. »

Установите все обновления - http://windowsupdate.microsoft.com

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:\log.txt и c:\info.txt и прикрепите к сообщению.

Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

Запустите AVZ. В меню AVZM выберите «установить драйвер расширенного мониторинга процессов», перезагрузите компьютер или выполните скрипт

Код:

begin

SetAVZPMStatus(True);

RebootWindows(true);

end.

и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

1. До этого была установлена windows с чистого оригинального дистрибутива.
После возникновения проблем программкой вырезал лишние службы и файлы... но не в этом дело.
2. Странный вопрос.. у вас некая монополия в интернете, людям с проблемами запрещаете в разных местах помощи просить ?
4. Проверил.

Fix Cheked сделал. Все обновления установил.
Лог Malwarebytes' Anti-Malware 1.32:

Цитата:

Версия базы данных: 1643
Windows 5.1.2600 Service Pack 3

11.01.2009 20:21:21
mbam-log-2009-01-11 (20-21-21).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 112170
Прошло времени: 23 minute(s), 41 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 1
Заражено папок: 0
Заражено файлов: 0

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
(Вредоносные программы не обнаружены)

Цитата:

Цитата Analog

1. До этого была установлена windows с чистого оригинального дистрибутива. »

строчки, которые вы пофиксили в HJT - рез-т работы nLite и не встречается в официальных лицензионных версиях windows

Цитата:

Цитата Analog

2. Странный вопрос.. у вас некая монополия в интернете, людям с проблемами запрещаете в разных местах помощи просить ? »

Никакой монополии, просто хелперы на форумах почти одни и те же. Если вы например на этом форуме создадите одинаковые темы в различных разделах, то это тоже не будет приветствоваться, то же самое с форумами, к тому же проходя лечение на одном из форумов и выкладывая логи потом ещё и на другом вы просто приведете в недоумение хелперов, т.к. рез-ты логов после предложенных скриптов могут сильно отличаться.
По логу AVZ Device\HarddiskVolume1\DOCUME~1\Nuke\LOCALS~1\Temp\RarSFX1\setup.exe скорее всего от cureit, т.е. не перезагружаясь после или во время работы cureit делали лог AVZ
Проверьте на virustoatal.com или virscan.org файлы

Цитата:

C:\WINDOWS\System32\zllictbl.dat
c:\windows\system32\cttele32.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\notepad.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\System32\paqsp.dll
C:\WINDOWS\system32\cisvc.exe

и файлы из папки c:\windows\system32\drivers\vm
Попробуйте деинсталлировать DAEMON Tools Lite и PerfectDisk 2008 Professional
Выполните в AVZ скрипт

Код:

begin

ExecuteRepair(1);        

ExecuteRepair(6);

ExecuteRepair(8);

ExecuteWizard('TSW', 1, 1, true);

ExecuteWizard('BT', 1, 1, true);

RebootWindows(true); 

end.

Проверил все эти файлы - не заражены.
Удалил обе программы. Выполнил скрипт.
После перезагрузки начал тыкать правой кнопкой по одному и тому же .exe-файлу.
После третьего нажатия уже начал радоваться, нажал даже Свойства - окно появилось!
Потом его закрыл, нажал опять правой кнопкой и опять все обвалилось....

Думал может проблемы с железом и оперативной памятью - но сами exe-шники запускаются и программы с играми работают исправно, с этим проблем нет.
С остальными файлами тоже все ок - можно перемещать, копировать, смотреть свойства.
Но вот любые действия с .exe убивают систему.

И еще чего вспомнил.
Вся эта ерунда началась сегодня утром.
При этом на рабочем столе у одного ярлыка, идущего до exe'шника от одной игры, поменялась картинка на логотип браузера Mozilla Firefox.
Совпадение ?
Этот же браузер и игрушка были установлены более месяца еще до первого случая возникновения проблемы.

Analog, по логам зловредов не видно, придраться не к чему, ищите проблему или в железе или в установленном софте. CureIt ничего не нашел?
Можете ещё деинсталлировать Dual-Core Optimizer или пофиксить в hijackthis не особо нужное (если что, потом можете восстановить в HijackThis View the list of backups-Restore)
например пофиксить

Код:

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [amd_dc_opt] C:\Soft\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKCU\..\Run: [Infium] "C:\Soft\QIP Infium\infium.exe"

O4 - HKCU\..\Run: [uTorrent] "C:\Soft\uTorrent\uTorrent.exe"

Попробуйте ещё сделать логи SDFix и gmer
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Удалил Optimizer, все пункты пофиксил. Логи ниже.

Кстате после предыдущих советов ошибка на explorer.exe стала вылетать немного другая:

До выполнения ваших рекомендаций было просто:
"explorer.exe ляляля ntdll.dll"

И как правило после загрузки системы несколько раз можно понижмать правой кнопкой на файлы, а потом ошибки.
причем после каждого нажатия компьютер что-то "думает" по секунде-две, а потом либо контекстное меню показывает, либо ошибку.

Analog, Ну вот видите, удаляете легитмные (не вредоносные программы) и ошибка меняется.
По логам чисто, а вот драйвера от Daemon Tools остались, судя по логам, ещё можете удалить RivaTuner v2.22 и FStarForce.sys
Остатки можно удалить скриптом

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\DRIVERS\FStarForce.sys','');

 QuarantineFile('C:\Program Files\DAEMON Tools Lite\daemon.exe','');

 QuarantineFile('C:\Soft\RivaTuner v2.22\RivaTuner.exe','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');

 QuarantineFile('C:\Soft\RivaTuner v2.22\RivaTuner32.sys','');

 DeleteFile('C:\Soft\RivaTuner v2.22\RivaTuner32.sys');

 DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');

 DeleteFile('C:\Soft\RivaTuner v2.22\RivaTuner.exe');

 DeleteFile('C:\Program Files\DAEMON Tools Lite\daemon.exe');

 DeleteFile('C:\WINDOWS\system32\DRIVERS\FStarForce.sys');

 DeleteService('sptd');

 DeleteService('RivaTuner32');

 DeleteService('FStarForce');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

файл C:\WINDOWS\system32\DRIVERS\tcpip.sys у вас патченный, не прошел по базе безопасных.
Попробуйте удалить кодеки.
Скачайте Dial-a-fix, поставьте галки в области Registration center (скриншот) и нажмите GO.
Рекомендую установить официальный WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com
Воспользуйтесь также поиском по форуму напр. по ключ. словам "свойства файла"
Попробуйте примерить такой твик реестра

Код:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoPropertiesMyComputer"=dword:00000000



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoViewContextMenu"=dword: 00000000

сохраните текст как fix.reg и примените.
Можете сделать новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

спасибо за советы, но нет, они не помогли. лог прикрепил.
может есть способ отследить что творится на компьютере во время ошибки ?

так или иначе переустановлю заного систему, установлю только самый необходимый софт и пару игр - посижу в таком состоянии недельку.

Analog, по логу чисто.
Попробуйте ещё отключить неиспользуемые службы
По логу OTViewIt Extras есть ошибки

Цитата:

Ошибка приложения drwtsn32.exe, версия 5.1.2600.0, модуль dbghelp.dll
Ошибка приложения explorer.exe, версия 6.0.2900.5512, модуль ntdll.dll
Ошибка приложения explorer.exe, версия 6.0.2900.5512, модуль oleaut32.dll,

Цитата:

Цитата Analog

может есть способ отследить что творится на компьютере во время ошибки ? »

Попробуйте утилитами Sysinternals Suite filemon, regmon, processexplorer, можете включить политику аудита на макс. - Пуск->выполнить->secpol.msc->политика аудита и затем анализировать журнал событий

С политикой аудита не разберусь.
После команды secpol.msc такая ошибка:

По нажатию "ок" все равно открывается окно, а где там что выставлять ?

Не обращайте внимание на изменившееся оформление. перед установкой ос решил поэксперементировать..

вместо secpol.msc можно пуск - настройка - панель управления - администрирование - локальная политика безопасности - политика аудита
см. Ошибка - [решено] Расположение политик IPSec в WinXP - Microsoft ...