» WinXP SP 1: Ошибка Explorer.exe сразу после входа.

Приветствую!

AppName: explorer.exe     AppVer: 6.0.2800.1106     ModName: ibm00003.dll
ModVer: 0.0.0.0     Offset: 00007608

Вот такая вот ошибка Windows Explorer сразу же после входа в OC! Windows XP (SP 1)
Сканил на вирусы - ничего! Что можете посоветовать!

А эта dll'ка ibm00003.dll, у тебя случайно не поэтому пути живёт - :\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.dll ?
Встречал сообщения в сети, что у многих там BYJ Virus.

Добавлено:
Sophos говорят это лечит.

Добавлено:
Если там вируса точно нет, то здесь по Explorer'у целая тема.

Такой папки вообще нет (Fichiers communs). Но я пытаюсь найти эту .dll! Пока безуспешно!

Mistake2
набираешь в гугле ibm00003 и читаешь
например:
_http://vic.zonelabs.com/body/CA/virusDetails.jsp?VId=47759
_http://www.nuker.com/container/details/trojan_ibmshell.php

я так понял, что читстится вручную:
1) удаляем все ibm000*.* в Program Files
2) чистим регистр на предмет все того же ibm000

этому трояну уже больше трех месяцев
"нормальные" антивирусы должны ловить
у тебя какой?

У меня avast! Но проблема в том, что этот троян (если это он) подваливает всю систему!! Все ужасно тормозит! + я заметил, что поиск тоже подломан! он крутится вокруг да около и ничего не находит!

Mistake2

Цитата:

пытаюсь найти эту .dll! Пока безуспешно!

Это ты как ищешь?
Включи отображать скрытые и системные файлы.

Добавлено:
Загрузись с CD.

Mistake2

Цитата:

поиск тоже подломан! он крутится вокруг да около и ничего не находит!

посмотри здесь: Program Files\Common Files\Microsoft Shared\Web Folders\

Far'ом или каким-нибудь другим manager'ом найди и прибей эту dll.

Нашел! там 4 файлика: ibm00002.dll, ibm00003.dll, ibm00004.dll, ibm00003.exe, только 2 и 3 файлы соответственно не удаляются!!!...

Найди о них ссылки в реестре, удали их, перегрузись и удаляй файлы.

Mistake2

Цитата:

2 и 3 файлы соответственно не удаляются!!!

если не поможет рецепт от FrontMan:
1) загрузись в safe mode (держать нажатой F8 при старте системы) и попытайся удалить, вдруг получится
2) раз уж зашел в safe mode - почисть реестр:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe <spaces> "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm <5 digits>. exe""
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell = "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm <5 digits> .exe"
3) если safe mode не помогла - грузись с CD, флэшки, другого раздела жесткого диска, чего угодно, и чисть

Реестр я уже подчистил! там один ключ только был!
Кстати, вот еще штучка есть: в taskmanagere svchost.exe висит и периодически память загружает! Но более того их там 4 штуки!

Mistake2

Цитата:

в taskmanagere svchost.exe висит и периодически память загружает! Но более того их там 4 штуки!

не боись. так и должно быть. это часть системы, ответственная за работу в сети. у меня их сейчас целых шесть

Но у меня-то сети нет

Цитата:

у меня их сейчас целых шесть

Аналогично.


Добавлено:
Mistake2

Цитата:

Но у меня-то сети нет

А как ты тут оказался?

А я шпион
Я имел в виду локальной сети нет: svchost.exe (LOCAL SERVISE)

Mistake2

Цитата:

локальной сети нет

Если есть модем, то будет и
Цитата:

(LOCAL SERVISE)

Добавлено:
P.S.
По моему уже пошёл оффтоп. Проблему свою ты решил. Поблагодари Almaz'а и разбежались.

Все сделал! Спасибо
Нужно было почаще заглядывать в Computer Manager! Там была ссылка на место расположение ibm00003.dll!!!
Только последний вопрос! Теперь при входе в Windows OC пытается запустить .../ibm00003.exe - я так понимаю автозагрузка! Как убрать?

Еще раз спасибо

Mistake2
Рекомендую Starter http://members.lycos.co.uk/codestuff/StarterSetup.zip
Хорошая тулза, всё покажет. Контролировать все загрузки (почти) ей быстрее и нагляднее, чем ручками в реестре. Хотя на вкус и цвет.............

add
Скачал, поставил, убрал что нужно?

Mistake2

Цитата:

Только последний вопрос! Теперь при входе в Windows OC пытается запустить .../ibm00003.exe - я так понимаю автозагрузка! Как убрать?

Советую посмотреть Autoruns (управление автозагрузкой) http://www.sysinternals.com/Utilities/autoruns.html ~210kb .
Не требует установки.
Описание старой версии http://www.ixbt.com/soft/sysinternals-autoruns.shtml
В новой версии возможностей больше. В 14 вкладках (есть вкладка Explorer) показывает всё объекты, которые автоматически запускаются при старте системы. Можно временно отключить запуск определенного объекта, удалить, посмотреть путь объекта и ключ реестра.

Цитата:

только 2 и 3 файлы соответственно не удаляются!!!...

Для удаления файлов попробуй Unlocker. Смотри http://ccollomb.free.fr/unlocker/.
Там же сравнение и ссылки на другие подобные программы.

OKMer
Спасибо!
Autoruns - неплохая прожка

К сожалению, у меня на днях появилась похожая проблема, как и у Mistake2, вот только сообщение об ошибке explorer.exe появляется при запуске explorer (не высегда) или после удаления файлов с последующим переходом на рабочий стол. В этом случае ошибка появляется два раза подряд ( второй раз после нажатия кнопки "Не отправлять отчет"). При втором разе на короткое время изчезают папки рабочего стола, а потом все восстанавливается. Тип dll как у Mistere2 не определяется. А может дело и не в dll.
Вот что у меня отражается: AppName:explorer.exe AppVer:6.0.2900.2180
ModName:unknown (!!!) ModVer:0.0.0.0 Offset:03fffb04
Да, несколько дней назад пользовался UnLocker 1.7.8 ( удалял dll от какой-то программы, которая интегрировалась в Explorer ).
Система у меня Windows XP SP2

Парни! Одна из прог, которые вы мне посоветовали, привезла мне троянчик! Но avast! справился! Проверьте ссылки!

Nicol22
а ты смотрел в Менеджере из-за какого файла произошел сбой? У меня там указывался адрес!

Цитата:

Одна из прог, которые вы мне посоветовали, привезла мне троянчик!

Какая именно?

FrontMan
Я не знаю! Я его быстренько удалил Но не в autoruns

Mistake2

Цитата:

Я не знаю!

Тебе, что этих програмок, 99999999999 штук посоветовали?
Я одну, - Starter., и OKMer - две. За Starter ручаюсь, можешь зайти сюда: http://forum.ru-board.com/topic.cgi?forum=5&topic=4855#1 и спросить парней.
Да и Autoruns с Unlocker тоже проги широко известные. Так-что гонишь или ты, или твой avast.

Ну я ни на кого не гнал И avast трояна нашел!

Но может оно так совпало по времени... не знаю! Но когда открывал одну из прог, вирус бы найден!

Да не волнуйся ты! Всякое бывает! Я же не говорю, что вы мне специально подкинули

Проблема вроде решена - все радуемся

Не так давно поймал вирус на Win2003. Обнаружился и удалился как Locksky. Некоторое время все работало нормально. Установил SP1. После этого explorer стал постоянно перегружаться. Сразу после первого запуска системы. В логах написано примерно то же:

Цитата:

AppName:explorer.exe AppVer:6.0.2900.2180
ModName:unknown (!!!) ModVer:0.0.0.0 Offset:03fffb04

Подмена файла explorer.exe из дистрибутива ничего не дала.


В taskmgr на несолько секунд появляется drwtsn32.exe. Процесс Доктора Ватсона.
Я подумал что может слетел дебаггер и удалил ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
Не помогло, только при перезагрузке explorer система стала говорить

Цитата:

Инструкция по адресу 0x1303280 обратилась к памяти по адресу 0ч1303280 Память не может быть "read"

Хелп!!! Что далать?

помогите plz