Dell inspiron 1525, nie startuje explorer.exe

[T9K]

Witam.

 

Pacjent to laptop dell inspiron 1525, vista 32bit, po odpaleniu dluuuugo się ładuje, pojawia się kuersor ale explorer.exe już nie startuje, da się go odpalić przez menadżer zadań.

 

Zauważyłem już jedną przypadłość - "Opcje folderów i wyszukiwania" - jest nieaktywna (zaszarzona w menu rozwijanym).

 

Dysk F to pendrive którym przenosiłem otl'a i gmera bo lapciak nie był podłączany do netu w czasie skanowania.

 

Co było na nim robione i co jest przyczyną - nie wiem, daję logi w załącznikach (w przypadku gmer'a wziąłem zapisz i czy to dobrze zrobione?)

Extras.Txt

gmer.txt

OTL.Txt

[Landuss]

Jest tu infekcja Brontok. Zastosuj z trybu awaryjnego ComboFix. Gdy ukończy pracę wklej z niego log oraz sporządź nowe logi z OTL.

[T9K]

Combofix (uruchamiany jako administrator) "wykrzacza" się na robieniu kopii bezpieczeństwa rejestru, ot komputer zaczyna się resetować (ale nie nagle tylko "trwa zamykanie..." i reset), nie kontynuuje dalszych operacji po restarcie zarówno do trybu normalnego jak i awaryjnego (ofc po tym restarcie z combo)

 

Uruchomienie combofix w trybie normalnym, też system sam się resetuje ale po zniknięciu robienia kopii i na tym koniec...

[Landuss]

To trzeba będzie OTLem usuwać, może da rade.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\bronstab.exe ()
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000..\Run: [Tok-Cirrhatus] C:\Users\User\AppData\Local\smss.exe ()
O4 - Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found
O18 - Protocol\Handler\AutorunsDisabled\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll File not found
[2012-07-29 12:50:02 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-29
[2012-07-22 22:30:32 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-22
[2012-07-18 19:55:29 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-18
[2012-07-16 18:52:53 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-16
[2012-07-15 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-15
[2012-07-14 22:44:51 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Loc.Mail.Bron.Tok
[2012-07-14 22:44:08 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Ok-SendMail-Bron-tok
[2012-07-14 22:38:49 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-14
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\winlogon.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\smss.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\services.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\lsass.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\inetinfo.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\csrss.exe
 
:Files
C:\Windows\eksplorasi.exe
C:\Users\User\AppData\Local\Temp*.html
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[T9K]

Franca się nie daje... od razu się zaczyna resetować po wciśnięciu "wykonaj skrypt" (w awaryjnym się wylogowuje) i po tym nic się nie robi...

[Landuss]

Bo wirus jest zapisany tutaj do shella explorer.exe i dlatego pewnie tak się dzieje. Może spróbuj tak:

 

Zapisz skrypt w Notatniku na dysku. Wejdź w Tryb awaryjny z obsługą Wiersza polecenia (to nie załaduje powłoki graficznej). W linii komend wpisz polecenie notepad + ENTER, z poziomu Notatnika otwórz plik skryptu, następnie komenda F:\OTL.exe + ENTER, do okna przeklej ten skrypt.

[T9K]

Poszedł, log wynikowy w załączniku (z trybu awaryjnego)

OTL.Txt

[Landuss]

Tak potwierdzam, infekcja usunięta. Przejdź do kroków końcowych:

 

1. Wklej do OTL skrypt poprawkowy:

 

:OTL
SRV - File not found [Disabled | Stopped] -- C:\Program Files\AVG\AVG9\avgemc.exe -- (avg9emc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY)
O7 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
[2012-07-31 08:18:06 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-31
[2012-07-30 16:39:44 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-30

 

Klik w Wykonaj skrypt. Logó nie pokazujesz. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.6001.19120)

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[T9K]

Zrobione poza ie9 bo próbuje instalować jakieś aktualizacje z internetu (jest podłączony doń), ale wywala błąd że nie może zakończyć instalacji więc podjąłem próbę poprzez windows update i okazuje się że nie można włączyć WU bo usługa nie działa... i takowej nawet nie ma w services.msc(!).

 

Próba naprawy przez MS fixit nie podołała...

[Landuss]

W takim razie wykonaj log z Farbar Service Scanner (zaznacz wszystko do skanowania)

[T9K]

Log wynikowy:

 

Farbar Service Scanner Version: 26-07-2012

Ran by User (administrator) on 02-08-2012 at 16:55:49

Running from "C:\Users\User\Downloads"

Microsoft® Windows Vista™ Home Premium Service Pack 2 (X86)

Boot Mode: Normal

****************************************************************

 

Internet Services:

============

 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Google IP is accessible.

Google.com is accessible.

Yahoo IP is accessible.

Yahoo.com is accessible.

 

 

Windows Firewall:

=============

 

Firewall Disabled Policy:

==================

 

 

System Restore:

============

 

System Restore Disabled Policy:

========================

 

 

Security Center:

============

 

Windows Update:

============

BITS Service is not running. Checking service configuration:

Checking Start type: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.

Checking ImagePath: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.

Checking ServiceDll: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.

 

 

Windows Autoupdate Disabled Policy:

============================

 

 

Windows Defender:

==============

WinDefend Service is not running. Checking service configuration:

The start type of WinDefend service is OK.

The ImagePath of WinDefend service is OK.

The ServiceDll of WinDefend service is OK.

 

 

Windows Defender Disabled Policy:

==========================

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]

"DisableAntiSpyware"=DWORD:1

 

 

Other Services:

==============

 

sharedaccess Service is not running. Checking service configuration:

The start type of sharedaccess service is set to Demand

The ImagePath of sharedaccess service is OK.

The ServiceDll of sharedaccess service is OK.

 

 

File Check:

========

C:\Windows\system32\nsisvc.dll => MD5 is legit

C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit

C:\Windows\system32\dhcpcsvc.dll => MD5 is legit

C:\Windows\system32\Drivers\afd.sys => MD5 is legit

C:\Windows\system32\Drivers\tdx.sys => MD5 is legit

C:\Windows\system32\Drivers\tcpip.sys

[2011-08-10 20:37] - [2011-06-17 22:13] - 0905104 ____A (Microsoft Corporation) 2756186E287139310997090797E0182B

 

C:\Windows\system32\dnsrslvr.dll => MD5 is legit

C:\Windows\system32\mpssvc.dll => MD5 is legit

C:\Windows\system32\bfe.dll => MD5 is legit

C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit

C:\Windows\system32\SDRSVC.dll => MD5 is legit

C:\Windows\system32\vssvc.exe => MD5 is legit

C:\Windows\system32\wscsvc.dll => MD5 is legit

C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\system32\wuaueng.dll => MD5 is legit

C:\Windows\system32\qmgr.dll => MD5 is legit

C:\Windows\system32\es.dll => MD5 is legit

C:\Windows\system32\cryptsvc.dll => MD5 is legit

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit

C:\Windows\system32\ipnathlp.dll

[2008-01-21 04:24] - [2008-01-21 04:24] - 0288256 ____A (Microsoft Corporation) E1499BD0FF76B1B2FBBF1AF339D91165

 

C:\Windows\system32\svchost.exe => MD5 is legit

C:\Windows\system32\rpcss.dll => MD5 is legit

 

 

**** End of log ****

[Landuss]

Rzeczywiście coś tu z usługą BITS od zapory jest nie tak, a właściwie to w ogóle jej nie ma w rejestrze.

 

Wklej do notatnika:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS]
"DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000003
"DelayedAutoStart"=dword:00000001
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\
  6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
  00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\
  72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\
  63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance]
"Library"="bitsperf.dll"
"Open"="PerfMon_Open"
"Collect"="PerfMon_Collect"
"Close"="PerfMon_Close"
"InstallType"=dword:00000001
"PerfIniFile"="bitsctrs.ini"
"First Counter"=dword:0000086c
"Last Counter"=dword:0000087c
"First Help"=dword:0000086d
"Last Help"=dword:0000087d
"Object List"="2156"
"PerfMMFileName"="Global\\MMF_BITS_s"
"1008"=hex(:ed,6c,91,96,c4,35,cd,01
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\
  00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\
  00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\
  00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
  20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\
  00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\
  00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\
  00,20,02,00,00

 

Zapisz jako FIX.Reg i zaimportuj do rejestru.

 

Pokaż nowy log z FSS i daj znać czy jest OK.

[T9K]

Jest ok, w logu nie wywala już nic podejrzanego, przy restarcie zrobił jakąś(?) aktualizację ale usługi WU dalej nie idzie odpalić,

wywala "Usługa WU nie może obecnie wyszukać aktualizacji, ponieważ usługa nie jest uruchomiona. konieczne być może ponowne uruchomienie komputera"

Fixit niby ją naprawił i nawet po restarcie wywala dalej to samo...

 

 

I teraz najważniejsze dwie rzeczy: "Wyczarował" się IE9 (bo próbowałem znów go instalować z ściągniętego instalatora i wywalił że jest nowsza wersja), jest w angielskiej wersji i... właśnie teraz zajarzyłem że komputer był sprowadzony ze stanów z ANGIELSKĄ vistą (a teraz jest polska poza IE9)... i chyba musiał być użyty przez kogoś ten cały vistalizator (system nigdy nie był reinstalowany)...

 

 

I być może nie dokończymy tego bo właściciel już się upomina o laptopka...

[Landuss]

To może jeszcze wykonaj dwie rzeczy:

 

1. Sprawdź poprawność integralności plików - Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

2. Przeskanuj się na koniec za pomocą Kaspersky Virus Removal Tool

[T9K]

SFC nie wykrył żadnych nieprawidłowości ale Kasper z kolei tak - Trojan.Win32.AntiAV w obiekcie c:\windows\update.tray-15-0-lnk\svchost.exe i próba kasacji tego przy restarcie (ofc zainicjowana przez kaspera) nie powodzi się, przy kolejnym skanie znów to wykrywa.

[Landuss]

Kasper z kolei tak - Trojan.Win32.AntiAV w obiekcie c:\windows\update.tray-15-0-lnk\svchost.exe

 

To tak zwana infekcja z Facebooka, która jakieś pół roku temu występowała tutaj na forum. Tyle, że logi nic takiego nie pokazały. Pokaż mi ponownie logi z OTL zrobione na ustawieniach "Wszystko" w każdej sekcji.

[T9K]

O ile kaspersy nie mógł tego folderu usunąć to udało mi się to przez... SHIFT+DEL i potem już tego nie wykrywał...

 

logi z otla+extras w załączniku + screen z WU (rzuca się tu w oczy tajemniczy "null") :

 

Extras.Txt

OTL.Txt

[Landuss]

Nic tutaj prawie nie ma. Usuń jeszcze te dwa pliki po infekcji:

 

[2011-08-21 22:51:11 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe

[2011-08-21 22:48:27 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok

 

Wcześniej nie widać było tego w logu bo infekcja siedziała na tym systemie jak widać od sierpnia ubiegłego roku a logi mają ograniczone pole widzenia czasowego na filtrowaniu.

 

W kwestii WU podaj mi raz jeszcze nowy log z FSS

[T9K]

Obydwa pliki skasowane + FSS log

FSS.txt

[Landuss]

Według loga usługa WU działa poprawnie czy nadal więc jest ten problem?

[T9K]

Wywala błąd jaki jest na screenie kilka postów wyżej i nie idzie zrobić aktualizacji...

[T9K]

Laptop oddany, problem z Wu nie rozwiązany, do zamknięcia.