Работаю под Windows 2000 Pro SP4, в наличии ежедневно обновляющаяся Avira и Outpost.

1 июля ни с того ни с сего начал хрюкать флоппи-дисковод.
Времени в тот момент разбираться с хрюканьем не было, поэтому я его просто отключила в Диспетчере устройств.
В тот же день Outpost сообщил про процесс SVCHOST, который пытается соединиться с хостом nah77.biz по HTTP протоколу. Процесс добавила в фильтры и успокоилась, но машину на вирусы решила все-таки проверить.
Avira нашла TR/Crypt.ZPACK.Gen в корне папки Documents and Settings учетной записи Администратора (под именем file.exe). Файл я удалила и, полагая, что на этом шоу закончилось, забыла про него.

2 июля Avira один раз ругнулась на тот же троян уже в корзине, но я не придала этому значения. Как выяснилось позже - зря 

3 июля в ходе каких-то манипуляций с Outpost'ом я снова наткнулась на невразумительный SVCHOST, решила поиском выяснить, не забрался ли в систему посторонний процесс, и обнаружила файл svchost.exe с текущей датой в папке Program Files/Microsoft Common. Удалила его и успокоилась.

4 июля состоялась кульминация шоу.
Система загрузилась без рабочего стола и панели задач - только девственный фон. Добравшись через анус до Проводника, я обнаружила, что он не запускается, выдавая ошибку:

Не удается найти файл "explorer.exe" (или один из его компонентов). Проверьте правильность указания имени и пути, а также наличие всех необходимых библиотек.

Антивирусная проверка нашла TR/PSW.WebMoner.GU в библиотеке msvcrt57.dll (находится в папке system32).
Онлайновый антивирус Касперского нашел какой-то вирус в корзине в папках вида Dc<цифры> аж в трех экземплярах. Последовала жесткая чистка корзины, после чего этот вирус больше не обнаруживался.

А вот библиотеку просто так не удалишь.

Еще одна приятность - загрузить систему в защищенном режиме не удается, при выборе этого режима происходит самопроизвольная перезагрузка где-то в начале процесса.

Итог: сутки плясок с бубном, TR/PSW.WebMoner.GU в системе, по-прежнему нет рабочего стола, не запускается Проводник.

Вопрос в связи с этим волнует следующий: связано ли повреждение Проводника с зараженной библиотекой? И второй вопрос: как его восстановить?

Переустановку винды, яд, убиться о стену не предлагать.

Плановая смена системы ожидается, но чуть позже. Сейчас есть более приоритетные задачи.

Это сообщение отредактировал(а) ida - 5.7.2009, 13:54

Гы, пора переходить на окна7, а ты еще на 2000 сидишь. Хотя бы ХР поставь.

Восстановление возможно единственным способом - подключением всех ветвей реестра на другой машине и жёсткой чисткой из них всего, что автозагружается. Очень непросто - таких мест порядка 96 или 97 штук, и всё только вручную. Немного упростить себе задачу можно заменой NTUSER.DAT пользователя на дефолтный, взятый из Default user - порядка 30 точек при этом почистится, но всё связанное со станцией всё равно чистить руками. Ребут связан с ошибкой при загрузке какого-то модуля, который сейчас удалён (вирус). Хорошо, если он прописАлся как сервис, но не факт. См. описания очищенных вирусов - вдруг поможет.

К сожалению, на оси последний СП, так что восстановление апдейтом поверх не пройдёт. Можно попробовать поставить поверх XP SP 2 той же языковой версии - вероятность поправить дело при этом полядка половины. Но если не поможет - то полученную кашу только под формат.

Какой результат это даст?

Сейчас результаты такие: найденный вирус в карантине Авиры, никаких других нет (проверила разными антивирусами, в т.ч. с загрузочного диска), но картина не изменилась - защищенный режим, Проводник и Рабочий стол в том же состоянии.

Я не улавливаю связи между этим состоянием и библиотекой.

Еще пара замечаний: explorer.exe по дате и размеру совпадает с родным (сравнили с другой установкой Win2000), а библиотека msvcrt57 была с текущей датой (на момент обнаружения вируса).

У тебя наверное и исполняемые файлы не запускаются?

Создай файл resexe.reg со следующим содержанием 

И импортируй в реестр. Ну или посмотри что у тебя в соответствующих ключах реестра:
в ключе HKEY_CLASSES_ROOT\.exe должно быть:
значение по умолчанию: exefile
ключ с именем Content Type должен иметь значение application/x-msdownload

и т.д.

Из необходимого запускалось все, кроме Проводника.

Запускала: regedit, Firefox, QIP, IE, MS Word, снималку экранов и еще некоторый специфический софт.
Никаких проблем.

Доступны также Панель управления и прочее, что относится к администрированию машины.
Субъективно не работает только Проводник.

Да, еще были косяки с подключением-отключением USB-накопителей.

Вот ещё
http://support.microsoft.com/kb/311446/ru

Добавлено через 3 минуты и 14 секунд

А сам файл-то существует в папке winnt? Кстати он должен быть только в этой папке.

Да.

Проверили еще переменные окружения - там тоже все чисто.

Это сообщение отредактировал(а) ida - 5.7.2009, 20:38

Найди все вхождения explorer.exe в реестре. Помню был случай, когда вирус указал explorer.exe в качестве расширения файла. Вспомнить не могу и гугл не выручил.

Добавлено через 2 минуты и 39 секунд
И на всякий случай восстанови оригинальный файл из дистрибутива: expand explorer.ex_ c:\winnt\explorer.exe

Добавлено через 7 минут и 27 секунд
Кстати... у тебя дистрибутив есть? Можно установить ОС поверх существующей. Установщик винды после принятия лицензионного сообщения должен найти предыдущую копию ранее установленной винды. В этот момент жмёшь R и устанавливаешь винду пОверх существующей. Все файлы, настройки и т.д., всё сохраниться.

Добавлено через 8 минут и 38 секунд
И ещё такой вопрос. Ты ручками пробовала запустить Проводник через диспетчер задач? Та же ошибка?

Вспомнил!!!  
Посмотри в реестре раздел HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options.
Обрати внимание, что в разделе Image File Execution Options есть подразделы, так вот, удали оттуда подраздел explorer.exe.

Это сообщение отредактировал(а) Akella - 5.7.2009, 21:57

Что-то я пропустил, что нормальгная загрузка проходит, пусть и без десктопа...

Эксплорер в папке есть, но не грузится с ошибкой. Это факт.
Вариантов, когда такое может произойти, немного.
1) Имеется где-то файл с именем explorer.exe в каталоге, который находится в "PATH=" раньше, чем %windir%. Вряд ли, но всё-таки проверь...
2) В системе имеется алиас с именем explorer.exe, указывающий на другой исполняемый файл. Маловероятно, но всё-таки проверь...
3) explorer.exe грузит для своей работы чёртову уйму всяких расширений, хелперов и прочей дряни, что-то валится и уносит его за собой. Наиболее вероятная причина. Если есть возможность погрузиться в нормальном режиме, пусть и без рабочего стола, и запустить autoruns или там osam - можно попробовать выправить положение, вычистив лишнее и ссылки на несуществующее. Причём это касается как прямо указываемых файлов, так и косвенно загружаемых по цепочке CLSID-ов, а также зависимых и автозапускаемых служб. Где-то там скорее всего есть ссылка на файл, который содержал вирус. Теперь этого файла нет, попытка загрузить его приводит к ошибке. Но его загрузка помечена флагом критичности. В результате explorer не грузится, давая ошибку.
4) Где-то в реестре или файловой системе обвалены права. Тоже вполне возможно. Загрузиться аналогично предыдущему пункту и запустить filenom или procmon, а затем стартовать explorer и смотреть ошибки. Одно плохо - нормальный лог загрузки эксплорера тянет на десятки тысяч строк, угадишься копать.

Это сообщение отредактировал(а) Akina - 5.7.2009, 22:04

Пробовали подкладывать - никакого эффекта.


Сэр!....  ну... я же не имбицил 
через что только не запускали.


Проверила. Нет.


А как это сделать?


а что это за звери и как с ними работать?... и как не вычистить лишние? я же не знаю, что там должно быть и чего не должно.
про ссылку на файл пока поняла.


Если речь идет о правах файловой системы, то у меня FAT32

Это сообщение отредактировал(а) ida - 5.7.2009, 23:45

Сразу могу сказать что это, и как это лечить: Вирус-червь Sality заражает флешки, и РЕ программы, Проблемы с безопасным режимом можно вылечить утилиткой AntiSality. или Антивирусом Касперского 2009. Вроде другие версии не лечат.

Поздравляю, вот так систему и убивают! Svhost всего-лишь запускает службы, внутри себя, но сам службой не является! После такого лутше слить у кого-нибудь основные файлы 

А вариант восстонавления системы? Сама себя восстановит, а документы и программы останутся на месте 

И лутше не надо 

Вообще возьмите на вооружение утилитки типа Autoruns и Process Explorer. Они очень часто помогают, и они бесплатные 

Решила все-таки форматировать системный раздел и устанавливать заново.

Это сообщение отредактировал(а) ida - 6.7.2009, 13:19

А это сообщение не заметила?

Добавлено через 44 секунды

  так не интересно.