Skocz do zawartości

Explorer.exe wywala się zaraz po uruchomieniu systemu


webo

Rekomendowane odpowiedzi

Mam problem ze zdiagnozowaniem szkodnika, najnowszy Kaspersky niczego nie wykrywa. Nie mogę uruchomić trybu awaryjnego bo pojawia się tylko migający kursor i pracujący cały czas dysk, czekałem tak 15 minut i nic się nie zmieniło wiec reset. Po uruchomieniu systemu w normalnym trybie, udało mi się w końcu cokolwiek zrobić mimo, pojawiającego się na samym początku komunikatu:

"Wystąpił problem z aplikacją Explorer.exe..."

Przy uruchamianiu Gmera i Otla pobranego z linku podanego przez Picasso pojawia się:

Rundll-Wystąpił błąd podczas ładowania Program files\Internet Explorer\cfgnm.dll. Nie można odnaleźć określonego modułu. Próba uruchomienia explorer.exe z poziomu Gmera kończy się niepowodzeniem.

Następnie komunikat Gmer- LoadDriver("Docume ~1\user\Ustawi~1\Temp\pgtdapow.sys") error 0xC0000061: Odmowa dostępu.

W końcu udało mi się odpalić Otl.exe dzięki odpalonemu Gmerowi i wygenerować logi.

 

Z góry dziękuję za pomoc.

 

 

GMER 1.0.15.15641 - "http://www.gmer.net"

Rootkit scan 2012-10-17 19:26:39

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST360021A rev.3.19

Running: trcnndkl.exe; Driver: D:\DOCUME~1\serwis\USTAWI~1\Temp\pgtdapow.sys

 

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\Tcpip \Device\Tcp ABTDI.sys (ABTDI/ArcaBit)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

---- EOF - GMER 1.0.15 ----

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Na razie brak oznak czynnej infekcji. Ale jest tu zastanawiająca sprawa. Ten log miesza komponenty dysków D i C, jakieś kuriozum z tego wychodzi. Wg nagłówka raportu system jest na D, ale określone wpisy rejestru kierują na C:

 

 

 

O2 - BHO: (CNavExtBho Class) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NAVShExt.dll (Symantec Corporation)

O3 - HKLM\..\Toolbar: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NAVShExt.dll (Symantec Corporation)

O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\msdxm.ocx (Microsoft Corporation)

O3 - HKU\S-1-5-21-1993962763-113007714-1801674531-1004\..\Toolbar\ShellBrowser: (&Adres) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\SYSTEM\BROWSEUI.DLL (Microsoft Corporation)

O3 - HKU\S-1-5-21-1993962763-113007714-1801674531-1004\..\Toolbar\ShellBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NAVShExt.dll (Symantec Corporation)

O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\WEB\RELATED.HTM ()

O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\WEB\RELATED.HTM ()

O18 - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL (Microsoft Corporation)

O18 - Protocol\Handler\cdl {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Handler\file {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ftp {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Handler\gopher {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Handler\its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\itss.dll (Microsoft Corporation)

O18 - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL (Microsoft Corporation)

O18 - Protocol\Handler\local {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mhtml {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\inetcomm.dll (Microsoft Corporation)

O18 - Protocol\Handler\mk {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\itss.dll (Microsoft Corporation)

O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL File not found

O18 - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL (Microsoft Corporation)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL File not found

O18 - Protocol\Handler\sysimage {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL (Microsoft Corporation)

O18 - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL (Microsoft Corporation)

O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\msdxm.ocx (Microsoft Corporation)

O18 - Protocol\Filter\Class Install Handler {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Filter\deflate {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Filter\gzip {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Filter\lzdhtml {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\SYSTEM\URLMON.DLL (Microsoft Corporation)

O18 - Protocol\Filter\text/webviewhtml {733AC4CB-F1A4-11d0-B951-00A0C90312E1} - C:\WINDOWS\SYSTEM\SHDOC401.DLL (Microsoft Corporation)

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\SYSTEM\WEBCHECK.DLL (Microsoft Corporation)

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Moduł wstępnego ładowania interfejsu Browseui - C:\WINDOWS\SYSTEM\BROWSEUI.DLL (Microsoft Corporation)

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demon buforu kategorii składników - C:\WINDOWS\SYSTEM\BROWSEUI.DLL (Microsoft Corporation)

 

 

 

 

Ponadto, jest tu skierowanie na ścieżkę C:\WINDOWS\SYSTEM, podczas gdy powinno to być system32 (i odfiltrowane z widoku OTL). Czyli zła litera dysku i zły katalog. Nie wiem o co chodzi i z czym mam do czynienia, ale układ jest nienormalny.

 

 

Po uruchomieniu systemu w normalnym trybie, udało mi się w końcu cokolwiek zrobić mimo, pojawiającego się na samym początku komunikatu:

"Wystąpił problem z aplikacją Explorer.exe..."

 

Dziennik zdarzeń nagrał to jako zestaw błędów, za każdym razem inny moduł przyczynowy:

 

Error - 2012-10-16 15:38:40 | Computer Name = PC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł

powodujący błąd kernel32.dll, wersja 5.1.2600.5781, adres błędu 0x00009823.

 

Error - 2012-10-16 16:35:38 | Computer Name = PC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł

powodujący błąd browseui.dll, wersja 6.0.2800.1106, adres błędu 0x0004535b.

 

Error - 2012-10-16 16:35:47 | Computer Name = PC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd drwtsn32.exe, wersja 5.1.2600.0, moduł powodujący

błąd dbghelp.dll, wersja 5.1.2600.5512, adres błędu 0x0001295d.

 

Error - 2012-10-16 16:38:27 | Computer Name = PC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd explorer.exe, wersja 4.72.3110.1, moduł

powodujący błąd kernel32.dll, wersja 5.1.2600.5781, adres błędu 0x00012afb.

 

Na chwilę obecną nic z tego dla mnie nie wynika.

 

 

Przy uruchamianiu Gmera i Otla pobranego z linku podanego przez Picasso pojawia się:

Rundll-Wystąpił błąd podczas ładowania Program files\Internet Explorer\cfgnm.dll. Nie można odnaleźć określonego modułu.

 

Owszem, mamy tu gagadka w starcie, tylko że formuła błędu oraz wpisu jako takiego wskazuje, że to się nie uruchamia (brak pliku):

 

O4 - HKLM..\Run: [trmbfni] rundll32.exe "D:\Program Files\Internet Explorer\cfgnm.dll",kmrduil File not found

 

Zanim ruszę ten wpis i inne:

 

 

Następnie komunikat Gmer- LoadDriver("Docume ~1\user\Ustawi~1\Temp\pgtdapow.sys") error 0xC0000061: Odmowa dostępu.

 

Nie podoba mi się "Odmowa dostępu". Sprawdź co widzi Kaspersky TDSSKiller. Jeżeli cokolwiek wykryje, przyznaj akcję Skip i przedstaw log do oceny.

 

 

 

.

Odnośnik do komentarza

Ten skan OTL mnie niepokoi, tak nie powinno to wszystko wyglądać. I nic mi na teraz do głowy nie przychodzi w kwestii błędów, choć zastanowił mnie ten starawy ArcaVir. To weźmy sę najpierw za czyszczenie odpadków, w zakresie ograniczonym, bo przy takim skanie OTL są określone wątpliwości ...

 

1. Z poziomu Trybu awaryjnego uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [trmbfni] rundll32.exe "D:\Program Files\Internet Explorer\cfgnm.dll",kmrduil File not found
O4 - HKLM..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: D:\WINDOWS\system32\Adobe\Director\np32dsw.dll File not found
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files\Microsoft Silverlight\3.0.40723.0\npctrl.dll File not found
SRV - File not found [Auto | Stopped] -- D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)
SRV - File not found [On_Demand | Stopped] -- D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\WSTCODEC.SYS -- (WSTCODEC)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\NTACCESS.SYS -- (WEBNTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\StreamIP.sys -- (streamip)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SLIP.sys -- (SLIP)
DRV - File not found [File_System | System | Stopped] -- system32\DRIVERS\8412021.sys -- (setup_9.0.0.722_22.02.2012_22-43drv)
DRV - File not found [File_System | System | Stopped] -- system32\DRIVERS\4140440.sys -- (setup_9.0.0.722_07.02.2011_14-06drv)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\ArcaBit\ArcaVir\ps_drv.sys -- (ps_drv)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\NdisIP.sys -- (NdisIP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\NABTSFEC.sys -- (NABTSFEC)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\MSTEE.sys -- (MSTEE)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\MODEMCSA.sys -- (MODEMCSA)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Documents and Settings\Lidia\Pulpit\aaida\aida32.sys -- (FUTUREX)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\DgiVecp.sys -- (DgiVecp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\CCDECODE.sys -- (CCDECODE)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\cam1210.sys -- (CAM1210)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\84120212.sys -- (84120212)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\84120211.sys -- (84120211)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\41404402.sys -- (41404402)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\41404401.sys -- (41404401)
 
:Files
D:\FOUND.*
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. Zrób nowy log OTL z opcji Skanuj. Uruchamiałeś także ComboFix. Czy jest na dysku log, który wtedy utworzył?

 

 

 

.

Odnośnik do komentarza

1. W związku z dużymi problemami z wykonaniem czegokolwiek przywróciłem system z kopi plików przywracania systemu, które jak na razie(bez netu) przywróciły system do normalnej pracy. ArcaVirMicroScan znalazł kilka zainfekowanych plików, Kaspersky Virus Removal Tool tez ale zupełnie coś innego.

 

ArcaVirMicroScan - Raport ze skanowania [2012.10.18 18:08:13]

Data bazy wirusów : 2012.10.17 15:05:26

 

[skanowanie : C:]

 

[skanowanie : D:]

 

D:\Documents and Settings\All Users\Pulpit\vir\FSS.exe <- Trojan.Agent.Ejsa : Zmiana nazwy

D:\Documents and Settings\All Users\Pulpit\vir\MiniToolBox.exe <- Trojan.Agent.Ejsa : Zmiana nazwy

D:\Documents and Settings\Lidia\Pulpit\RealPlayer.exe <- Worm.Net.Koobface.Pbe : Zmiana nazwy

D:\System Volume Information\_restore{0AC86055-B540-436F-9EA0-74A76E6FC1C4}\RP64\A0014085.exe <- Trojan.Agent.Ejsa : Zmiana nazwy

D:\System Volume Information\_restore{0AC86055-B540-436F-9EA0-74A76E6FC1C4}\RP64\A0014086.exe <- Trojan.Agent.Ejsa : Zmiana nazwy

D:\System Volume Information\_restore{0AC86055-B540-436F-9EA0-74A76E6FC1C4}\RP64\A0014087.exe <- Worm.Net.Koobface.Pbe : Zmiana nazwy

D:\OLD\Documents and Settings\Lidia\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\73wozf2q.default\Cache.Trash\F3F712FCd01 <- Worm.Net.Koobface.Pbe : Kasowanie

D:\stery\RealPlayer.exe <- Worm.Net.Koobface.Pbe : Kasowanie

 

Przeskanowanych obiektów : 433262

 

Zainfekowanych obiektów : 8

 

Automatyczne skanowanie: zakończono 15 godz. temu   (zdarzeń: 2, obiektów: 7279, czas: 00:54:09)	

2012-10-19 09:06:09 Zadanie zostało zakończone

2012-10-19 08:11:59 Zadanie zostało uruchomione

Automatyczne skanowanie: zakończono 2 godz. temu (zdarzeń: 4, obiektów: 395959, czas: 02:06:45)

2012-10-19 19:38:25 Zadanie zostało uruchomione

2012-10-19 20:50:52 Zagrożenie: Trojan.Win32.Swisyn.cneu D:\Documents and Settings\All Users\Pulpit\vir\OTS.com

2012-10-19 21:40:17 Nieprzetworzony: Trojan.Win32.Swisyn.cneu D:\Documents and Settings\All Users\Pulpit\vir\OTS.com Pominięty przez użytkownika

2012-10-19 21:45:10 Zadanie zostało zakończone

 

2. Załączam aktualny log z Otla. ComboFix zatrzymał się po 50 punkcie procedury, wiec logu nie utworzył. Teraz robię nowy i dołączę.

 

Pozbyłem się antywirusów ale niestety raportu z ComboFixa nie dołączę ponieważ po ukończeniu etapu_50 zaczyna usuwać foldery i zatrzymuje się na Documents nad Settings\User\Dane aplikacji\.#. I nic więcej w tym momencie się nie dzieje, proces bezczynności 99%, dysk nie pracuje. W folderze Qoobox\Quarantine\D\Windows\ znalazłem plik WindowsUpdate.log.vir. Jakieś sugestie?

OTL.Txt

Odnośnik do komentarza

webo, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast post pod postem. Sklejam. Log z OTL po przywróceniu rejestru wygląda już całkiem inaczej, nie ma widocznego miksu danych z C i nie ma szczątków, które miał usuwać mój skrypt. Tylko dokasuj z dysku odpadki po pracy checkdisk, czyli te ukryte foldery:

 

[2012-10-16 20:03:18 | 000,000,000 | -HSD | C] -- D:\FOUND.004

[2012-08-06 11:29:56 | 000,000,000 | -HSD | C] -- D:\FOUND.003

[2012-04-29 17:16:06 | 000,000,000 | -HSD | C] -- D:\FOUND.002

[2012-04-23 18:29:32 | 000,000,000 | -HSD | C] -- D:\FOUND.001

[2012-03-29 15:26:24 | 000,000,000 | -HSD | C] -- D:\FOUND.000

 

Czy GMER + TDSSKiller uruchamiają się teraz bez błędu? Ponadto, ogólnie rzecz biorąc, to tu od pierwszego posta do ostatniego nie ma żadnych podstaw, by twierdzić, że problemy wynikały z infekcji.

 

 

ArcaVirMicroScan znalazł kilka zainfekowanych plików, Kaspersky Virus Removal Tool tez ale zupełnie coś innego.

 

To fałszywe alarmy. Oba skanery wykryły jako "infekcje" narzędzia logów (Farbar Service Scanner, MiniToolBox, OTS) oraz ich repliki w Przywracaniu systemu. Instalator RealPlayer.exe wykryty jako Worm.Net.Koobface.Pbe też wygląda na fałszywy alarm.

 

 

ComboFix zatrzymał się po 50 punkcie procedury, wiec logu nie utworzył. Teraz robię nowy i dołączę.

 

Na temat stosowania ComboFix: KLIK. Nie zalecałam uruchamiania i nie wiem po co to robisz. Jest to pozbawione celu. Narzędzie uruchamia się tylko wtedy, gdy są silne podstawy / dowody obecności infekcji. Skoro go użyłeś, to teraz go prawidłowo odinstaluj, w Start > Uruchom > wklejając komendę:

 

"D:\Documents and Settings\All Users\Pulpit\ComboFix.exe" /uninstall

 

 

W folderze Qoobox\Quarantine\D\Windows\ znalazłem plik WindowsUpdate.log.vir. Jakieś sugestie?

 

Brak sugestii. Sam plik usuwam, waży dużo, a jest tu zbędny, bo do niczego to nie prowadzi. Przy okazji: nie powinieneś nawet go załączać, skoro był w kwarantannie. Teortetycznie mógłbyś mi uploadować na serwer zainfekowany plik.

 

 

 

.

Edytowane przez picasso
20.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...