Skocz do zawartości

Dell inspiron 1525, nie startuje explorer.exe


Rekomendowane odpowiedzi

Witam.

 

Pacjent to laptop dell inspiron 1525, vista 32bit, po odpaleniu dluuuugo się ładuje, pojawia się kuersor ale explorer.exe już nie startuje, da się go odpalić przez menadżer zadań.

 

Zauważyłem już jedną przypadłość - "Opcje folderów i wyszukiwania" - jest nieaktywna (zaszarzona w menu rozwijanym).

 

Dysk F to pendrive którym przenosiłem otl'a i gmera bo lapciak nie był podłączany do netu w czasie skanowania.

 

Co było na nim robione i co jest przyczyną - nie wiem, daję logi w załącznikach (w przypadku gmer'a wziąłem zapisz i czy to dobrze zrobione?)

Extras.Txt

gmer.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Combofix (uruchamiany jako administrator) "wykrzacza" się na robieniu kopii bezpieczeństwa rejestru, ot komputer zaczyna się resetować (ale nie nagle tylko "trwa zamykanie..." i reset), nie kontynuuje dalszych operacji po restarcie zarówno do trybu normalnego jak i awaryjnego (ofc po tym restarcie z combo)

 

Uruchomienie combofix w trybie normalnym, też system sam się resetuje ale po zniknięciu robienia kopii i na tym koniec...

Odnośnik do komentarza

To trzeba będzie OTLem usuwać, może da rade.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\bronstab.exe ()
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000..\Run: [Tok-Cirrhatus] C:\Users\User\AppData\Local\smss.exe ()
O4 - Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found
O18 - Protocol\Handler\AutorunsDisabled\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll File not found
[2012-07-29 12:50:02 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-29
[2012-07-22 22:30:32 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-22
[2012-07-18 19:55:29 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-18
[2012-07-16 18:52:53 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-16
[2012-07-15 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-15
[2012-07-14 22:44:51 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Loc.Mail.Bron.Tok
[2012-07-14 22:44:08 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Ok-SendMail-Bron-tok
[2012-07-14 22:38:49 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-14
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\winlogon.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\smss.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\services.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\lsass.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\inetinfo.exe
[2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\csrss.exe
 
:Files
C:\Windows\eksplorasi.exe
C:\Users\User\AppData\Local\Temp*.html
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza

Bo wirus jest zapisany tutaj do shella explorer.exe i dlatego pewnie tak się dzieje. Może spróbuj tak:

 

Zapisz skrypt w Notatniku na dysku. Wejdź w Tryb awaryjny z obsługą Wiersza polecenia (to nie załaduje powłoki graficznej). W linii komend wpisz polecenie notepad + ENTER, z poziomu Notatnika otwórz plik skryptu, następnie komenda F:\OTL.exe + ENTER, do okna przeklej ten skrypt.

Odnośnik do komentarza

Tak potwierdzam, infekcja usunięta. Przejdź do kroków końcowych:

 

1. Wklej do OTL skrypt poprawkowy:

 

:OTL
SRV - File not found [Disabled | Stopped] -- C:\Program Files\AVG\AVG9\avgemc.exe -- (avg9emc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY)
O7 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
[2012-07-31 08:18:06 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-31
[2012-07-30 16:39:44 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-30

 

Klik w Wykonaj skrypt. Logó nie pokazujesz. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.6001.19120)

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza

Zrobione poza ie9 bo próbuje instalować jakieś aktualizacje z internetu (jest podłączony doń), ale wywala błąd że nie może zakończyć instalacji więc podjąłem próbę poprzez windows update i okazuje się że nie można włączyć WU bo usługa nie działa... i takowej nawet nie ma w services.msc(!).

 

Próba naprawy przez MS fixit nie podołała...

Odnośnik do komentarza

Log wynikowy:

 

Farbar Service Scanner Version: 26-07-2012

Ran by User (administrator) on 02-08-2012 at 16:55:49

Running from "C:\Users\User\Downloads"

Microsoft® Windows Vista™ Home Premium Service Pack 2 (X86)

Boot Mode: Normal

****************************************************************

 

Internet Services:

============

 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Google IP is accessible.

Google.com is accessible.

Yahoo IP is accessible.

Yahoo.com is accessible.

 

 

Windows Firewall:

=============

 

Firewall Disabled Policy:

==================

 

 

System Restore:

============

 

System Restore Disabled Policy:

========================

 

 

Security Center:

============

 

Windows Update:

============

BITS Service is not running. Checking service configuration:

Checking Start type: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.

Checking ImagePath: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.

Checking ServiceDll: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.

 

 

Windows Autoupdate Disabled Policy:

============================

 

 

Windows Defender:

==============

WinDefend Service is not running. Checking service configuration:

The start type of WinDefend service is OK.

The ImagePath of WinDefend service is OK.

The ServiceDll of WinDefend service is OK.

 

 

Windows Defender Disabled Policy:

==========================

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]

"DisableAntiSpyware"=DWORD:1

 

 

Other Services:

==============

 

sharedaccess Service is not running. Checking service configuration:

The start type of sharedaccess service is set to Demand

The ImagePath of sharedaccess service is OK.

The ServiceDll of sharedaccess service is OK.

 

 

File Check:

========

C:\Windows\system32\nsisvc.dll => MD5 is legit

C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit

C:\Windows\system32\dhcpcsvc.dll => MD5 is legit

C:\Windows\system32\Drivers\afd.sys => MD5 is legit

C:\Windows\system32\Drivers\tdx.sys => MD5 is legit

C:\Windows\system32\Drivers\tcpip.sys

[2011-08-10 20:37] - [2011-06-17 22:13] - 0905104 ____A (Microsoft Corporation) 2756186E287139310997090797E0182B

 

C:\Windows\system32\dnsrslvr.dll => MD5 is legit

C:\Windows\system32\mpssvc.dll => MD5 is legit

C:\Windows\system32\bfe.dll => MD5 is legit

C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit

C:\Windows\system32\SDRSVC.dll => MD5 is legit

C:\Windows\system32\vssvc.exe => MD5 is legit

C:\Windows\system32\wscsvc.dll => MD5 is legit

C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\system32\wuaueng.dll => MD5 is legit

C:\Windows\system32\qmgr.dll => MD5 is legit

C:\Windows\system32\es.dll => MD5 is legit

C:\Windows\system32\cryptsvc.dll => MD5 is legit

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit

C:\Windows\system32\ipnathlp.dll

[2008-01-21 04:24] - [2008-01-21 04:24] - 0288256 ____A (Microsoft Corporation) E1499BD0FF76B1B2FBBF1AF339D91165

 

C:\Windows\system32\svchost.exe => MD5 is legit

C:\Windows\system32\rpcss.dll => MD5 is legit

 

 

**** End of log ****

Odnośnik do komentarza

Rzeczywiście coś tu z usługą BITS od zapory jest nie tak, a właściwie to w ogóle jej nie ma w rejestrze.

 

Wklej do notatnika:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS]
"DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000003
"DelayedAutoStart"=dword:00000001
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\
  6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
  00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\
  72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\
  63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance]
"Library"="bitsperf.dll"
"Open"="PerfMon_Open"
"Collect"="PerfMon_Collect"
"Close"="PerfMon_Close"
"InstallType"=dword:00000001
"PerfIniFile"="bitsctrs.ini"
"First Counter"=dword:0000086c
"Last Counter"=dword:0000087c
"First Help"=dword:0000086d
"Last Help"=dword:0000087d
"Object List"="2156"
"PerfMMFileName"="Global\\MMF_BITS_s"
"1008"=hex(B):ed,6c,91,96,c4,35,cd,01
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\
  00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\
  00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\
  00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
  20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\
  00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\
  00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\
  00,20,02,00,00

 

Zapisz jako FIX.Reg i zaimportuj do rejestru.

 

Pokaż nowy log z FSS i daj znać czy jest OK.

Odnośnik do komentarza

Jest ok, w logu nie wywala już nic podejrzanego, przy restarcie zrobił jakąś(?) aktualizację ale usługi WU dalej nie idzie odpalić,

wywala "Usługa WU nie może obecnie wyszukać aktualizacji, ponieważ usługa nie jest uruchomiona. konieczne być może ponowne uruchomienie komputera"

Fixit niby ją naprawił i nawet po restarcie wywala dalej to samo...

 

 

I teraz najważniejsze dwie rzeczy: "Wyczarował" się IE9 (bo próbowałem znów go instalować z ściągniętego instalatora i wywalił że jest nowsza wersja), jest w angielskiej wersji i... właśnie teraz zajarzyłem że komputer był sprowadzony ze stanów z ANGIELSKĄ vistą (a teraz jest polska poza IE9)... i chyba musiał być użyty przez kogoś ten cały vistalizator (system nigdy nie był reinstalowany)...

 

 

I być może nie dokończymy tego bo właściciel już się upomina o laptopka...

Odnośnik do komentarza

Nic tutaj prawie nie ma. Usuń jeszcze te dwa pliki po infekcji:

 

[2011-08-21 22:51:11 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe

[2011-08-21 22:48:27 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok

 

Wcześniej nie widać było tego w logu bo infekcja siedziała na tym systemie jak widać od sierpnia ubiegłego roku a logi mają ograniczone pole widzenia czasowego na filtrowaniu.

 

W kwestii WU podaj mi raz jeszcze nowy log z FSS

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...