Здравствуйте.

Появилась такая проблема. Иногда (не часто) возникает окно "Explorer.exe - обнаружена ошибка. Приложение будет закрыто." После этого на несколько секунд пропадает все с рабочего стола, и заново загружается (видимо перезагружается explorer.exe). Кроме того, при попытке установки MS SQL Server 2005 Express возникает ошибка 1603 и он не устанавливается. Есть подозрение, что это либо какой-то вирус либо последствия ранее удаленного вируса. Антивирусами ничего не находится. Посмотрите, пожалуйста, можно ли что-то с этим сделать. Система Windows XP Professional SP3.

С уважением,
Дмитрий Соколов.

Здравствуйте!

Радмин сами устанавливали?

Проверьте файл на www.virustotal.com
C:\Program Files\VPets\VPets.exe
Дайте ссылку на результат проверки файла.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "

Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\System Volume Information\_restore{212839DD-A758-437F-BB62-2068E2FFDD6E}\RP138\A0052085.dll','');
QuarantineFile('C:\Documents and Settings\Comp6\DoctorWeb\Quarantine\NTInvisible.dll','');
DeleteFile('C:\Documents and Settings\Comp6\DoctorWeb\Quarantine\NTInvisible.dll');
DeleteFile('C:\System Volume Information\_restore{212839DD-A758-437F-BB62-2068E2FFDD6E}\RP138\A0052085.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Пофиксите в hijackthis
Поставить галочки напротив указанных строк и нажать Fix Checked
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Подготовьте лог RSIT.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Обновите Adobe Reader до последней версии (http://get.adobe.com/reader/).

1) Да, RAdmin сам устанавливал
2) C:\Program Files\VPets\VPets.exe - такого файла на диске нет, видимо когда-то был установлен, потом удален
3) Выполнил 2 скрипта, выслал quarantine.zip
4) hijackthis - пофиксил
5) Malwarebytes - лог прилагаю
6) Adobe Reader обновляю

Удалите в MBAM:

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{456A3B12-8FE6-41AE-9E5C-5E55F0712C09} (Rogue.PCDefender) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые файлы:
c:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054629.dll (Trojan.SpyAgent) -> No action taken.
c:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054655.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054658.exe (Trojan.Agent) -> No action taken.
d:\ExtHDD\Distr\AV\avz4\quarantine\2010-12-27\avz00001.dta (Trojan.SpyAgent) -> No action taken.
d:\ExtHDD\Distr\AV\avz4\quarantine\2010-12-27\avz00002.dta (Trojan.SpyAgent) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054676.dll (Hacktool) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054660.exe (PSW.Tibia) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054662.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054665.exe (Trojan.Agent) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054667.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054669.exe (PUP.PWDump) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054671.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054675.dll (Hacktool) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054677.exe (PUP.PWDump) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054679.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054684.exe (Trojan.Downloader) -> No action taken.
d:\system volume information\_restore{212839dd-a758-437f-bb62-2068e2ffdd6e}\RP155\A0054686.EXE (Hacktool.Agent) -> No action taken.

Лог RSIT прикрепите.

Лог RSIT

C:\WINDOWS\system32\log.txt - удалите.

Больше проблем не вижу.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Ошибка все равно не пропала, видимо придется переставлять винду.
Но все равно спасибо за помощь.

При каких действиях происходит ошибка Explorer.exe?

Кроме того, при попытке установки MS SQL Server 2005 Express возникает ошибка 1603»
http://support.microsoft.com/kb/968749/ru

McAfee Security Scan Plus советую деинсталлировать.

Это я уже пробовал, не помогло.

В результате, SQL Server 2005 Express встал только после полного сноса Office 2007. Сносил причем средством, которое чистит все за собой (MicrosoftFixit50154.msi). Кроме того почистил все что мог с помощью msicuu2.exe. Пропала или нет ошибка эксплорера пока не понял. Так что винду пока переставлять не пришлось, и то хорошо.

Спасибо.

Не заметили при каких действиях происходила ошибка Explorer.exe?
Также посмотрите отчет об ошибке в журнале событий, Пуск -- выполнить -- ввести eventvwr.msc -- приложение, найдите ошибку и приведите текст ошибки.

А в том то и дело, что она происходит независимо от каких-либо действий по своему усмотрению. Иногда замечал, что при безопасном отключении внешнего диска, иногда просто при работе или запуске какой-нибудь программы. Сам хочу понять логику возникновения, но пока никакой особой системы не выявил. За логами послежу, сейчас в логе приложений никаких ошибок за вчерашний день например вообще нету, хотя вчера она пару раз возникала. Когда в следующий раз появится - просмотрю все логи.

Вот какая ошибка возникает при этом в логе приложений:

Код (ID): 1000

Ошибка приложения explorer.exe, версия 6.0.2900.5512, модуль unknown, версия 0.0.0.0, адрес 0x029a29f0.

скачайте и установите последнюю версию K-Lite Codec Pack (http://www.free-codecs.com/download/K_Lite_Codec_Pack.htm)
модуль unknown »
посмотрите более старые записи, возможно в них будет указан вызывающий ошибку модуль