Proces explorer uszkodzony

[kvasior]

Witam, od wczoraj z moim windows 7 zaczęło dziać się coś nie w porządku. Wyskoczył komunikat z błędem procesu explorer i od tego czasu nie da uruchomić się żadnego programu.. Po wejściu w menu start pasek "zacina się". Dzisiaj udało mi się uruchomić z traya noda 32 i malwarebytes antimalware, jednak nic one nie wykazały.. W trybie awaryjnym wszystko wydaje się być ok. Przywracanie systemu nic nie pomogło, polecenie sfc /scannow w cmdtakże. Proszę o pomoc.

[picasso]

Podaj raporty z OTL.

[kvasior]

Podaj raporty z OTL.

OTL.Txt

Extras.Txt

[picasso]

Tu jest inwazyjne adware i być może to tworzy problem:

 

========== Modules (No Company Name) ==========
 
MOD - [2012/12/04 10:39:26 | 000,235,008 | ---- | M] () -- C:\ProgramData\Premium\MagniPic\MagniPic.exe
 
O2 - BHO: (MagniPic) - {CA15A4DC-1F1D-2E6A-BD71-A1499956D0BA} - C:\ProgramData\MagniPic\5113cf23370e5.dll ()
O20 - AppInit_DLLs: (c:\progra~2\magnipic\sprote~1.dll) - c:\Program Files (x86)\MagniPic\sprotector.dll ()
 
[2013/02/07 16:32:28 | 000,000,000 | ---D | C] -- C:\ProgramData\CLSoft LTD
[2013/02/07 16:32:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\MagniPic
[2013/02/07 16:32:15 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MagniPic
[2013/02/07 16:32:15 | 000,000,000 | ---D | C] -- C:\ProgramData\MagniPic
[2013/02/25 17:39:22 | 000,000,372 | -H-- | M] () -- C:\Windows\tasks\MagniPicUpdaterTask{39AC2CA7-2DAB-434F-B8B7-435C3AE5DFC5}.job

 

Na czas wykonania wszystkich akcji zdeaktywuj rezydent MBAM.

 

1. Widoczne szczątki McAfee. Zastosuj McAfee Consumer Product Removal Tool.

 

2. Z prawokliku na plik C:\Windows\System32\appwiz.cpl Uruchom jako Administrator i odinstaluj adware MagniPic. Pozbądź się też AD-Remover, to straszna staroć. Otwórz Google Chrome i w Rozszerzeniach odinstaluj Bcool, Fast save, MagniPic, SweetIM for Facebook.

 

3. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadanie MagniPic.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\prefs.js
C:\ProgramData\Babylon
C:\Users\Kwas\AppData\Roaming\Babylon
C:\Users\Kwas\AppData\Roaming\DriverCure
C:\Users\Kwas\AppData\Roaming\logs
C:\Users\Kwas\AppData\Roaming\ParetoLogic
C:\Users\Kwas\AppData\Roaming\PC Cleaners
C:\Users\Kwas\AppData\Roaming\PCPro
C:\Users\Kwas\AppData\Roaming\SendSpace
C:\Users\Kwas\AppData\Roaming\mozilla
C:\Program Files (x86)\Media Crawler
C:\Program Files (x86)\mozilla firefox
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{5766DF15-18C4-4DB9-A1CD-FE1BA7EC74F8}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW"
IE - HKU\S-1-5-21-874795184-83182483-1592124481-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119776&babsrc=SP_ss&mntrId=a4366488000000000000001e65b418eb"
IE - HKU\S-1-5-21-874795184-83182483-1592124481-1000\..\SearchScopes\{40713263-D7D6-4292-A816-12EF0B40E6F8}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_plPL380"
IE - HKU\S-1-5-21-874795184-83182483-1592124481-1000\..\SearchScopes\{5766DF15-18C4-4DB9-A1CD-FE1BA7EC74F8}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_plPL380"
IE - HKU\S-1-5-21-874795184-83182483-1592124481-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://searchab.com/?aff=7&uid=e1caf61e-6e13-11e2-a8c0-08002700d832&q={searchTerms}"
IE - HKU\S-1-5-21-874795184-83182483-1592124481-1000\..\SearchScopes\{8A810625-500A-4120-A32E-6003EBF83B88}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=5CBC183C-E284-44BD-923C-38BAE31993ED&apn_sauid=D10D41F3-BACF-476B-9774-378EA764A3DF"
IE - HKU\S-1-5-21-874795184-83182483-1592124481-1000\..\SearchScopes\{C3CFB4B1-4443-4D11-BDCE-712DA198FBC8}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_plPL380"
IE - HKU\S-1-5-21-874795184-83182483-1592124481-1000\..\SearchScopes\{F9FE4E43-2540-46DC-9268-6F7959FF4380}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_plPL380"
O3 - HKU\S-1-5-21-874795184-83182483-1592124481-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\${SEARCH_URL}{searchTerms}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[kvasior]

Wykonałem wszystko tak jak radziłaś, jednak nic to nie pomogło. Skrypt w OTLu i "usuń" w AdwCleaner musiałem wykonać w trybie awaryjnym bo przy normalnym uruchomieniu windows "program przestaje działać" i sie zawiesza.. Dodatkowo przy wyłączaniu, komputer zacina się na samej tapecie i jedyne wyjście to wyciągnięcie z laptopa baterii i odłączenie zasilania. Po kombinacji klawiszy ctrl+alt+del w normalnym trybie wyskakują błędy, czasem są to błędy z explorer.exe. Zamieszczam logi z AdwCleaner (OTL zawiesza się po uruchomieniu).

 

Można w jakiś sposób podmienić pliki z procesu explorer.exe aby sprawdzić czy to nie tam tkwi problem?

02252013_232428.txt

[picasso]

Nie dałeś wszystkich raportów. Patrz w punkt 6 podanej instrukcji.

 

 

Wyskoczył komunikat z błędem procesu explorer i od tego czasu nie da uruchomić się żadnego programu.

 

+

 

Można w jakiś sposób podmienić pliki z procesu explorer.exe aby sprawdzić czy to nie tam tkwi problem?

 

Ale to nie oznacza jeszcze uszkodzenia explorer.exe. Przyczyn dla takiej formy błędu może być mnóstwo.

 

 

Dodatkowo przy wyłączaniu, komputer zacina się na samej tapecie i jedyne wyjście to wyciągnięcie z laptopa baterii i odłączenie zasilania. Po kombinacji klawiszy ctrl+alt+del w normalnym trybie wyskakują błędy, czasem są to błędy z explorer.exe.

 

Po pierwsze: pozbądź się MBAM, już tu były na forum tematy, w którym MBAM blokował proces wejścia na Pulpit.

Po drugie: dokładnie przepisz te komunikaty explorer.exe 1:1, a widać że nie tylko komunikaty explorer.exe. Wszystkie wiernie tu podaj.

Po trzecie: otwórz Dzienniki zdarzeń, wyszukaj błąd explorer.exe, wejdź w Szczegóły i przeklej tu treść błędu.

 

 

 

 

.

[kvasior]

A możeby być raport z OTL zrobiony w trybie awaryjnym? Bo zrobiłbym raport z OTL jednak po wejściu w normalny tryb OTL zawiesza sie.. Co do MBAM-> już usuwam.

[picasso]

To oczywiste, że masz go zrobić w takim trybie w jakim da radę. Ale po usunięciu MBAM się upewnij, czy nadal zacina się na tapecie.

[kvasior]

Zamieszczam najczęstrze błędy z dziennika i raport z OTL w trybie awaryjnym.

 

 

Usługa Dostawca grupy domowej zależy od usługi Host dostawcy odnajdowania funkcji, której nie można uruchomić z powodu następującego błędu: 
Uruchomienie usługi zależności lub grupy nie powiodło się.

Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: 
Uruchomienie usługi zależności lub grupy nie powiodło się.

Model DCOM odebrał błąd 1084 podczas próby uruchomienia usługi EventSystem z argumentami  w celu uruchomienia serwera:
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Komputer nie uzyskał przydziału adresu z sieci (od serwera DHCP) dla karty sieciowej o adresie sieciowym 0x080027007477. Wystąpił następujący błąd: 0x79. Komputer będzie ponawiał próby uzyskania adresu z serwera adresów sieciowych (DHCP).

Subskrybent powiadomień usługi winlogon <GPClient> poświęca dużo czasu na obsłużenie zdarzenia powiadamiania (EndShell).

OTL.Txt

[picasso]

To nie są błędy właściwe, część zresztą nieważna (skutek Trybu awaryjnego). Szukaj w gałęzi Aplikacja a nie System.

[kvasior]

Błędy z gałęzi aplikacja:

Nie można wygenerować kontekstu aktywacji dla "c:\program files (x86)\Last.fm\ext_skypenotify.dll". Nie można odnaleźć zestawu zależnego Microsoft.VC80.CRT,processorArchitecture="x86",type="win32",version="8.0.50727.762". Użyj narzędzia sxstrace.exe, aby uzyskać szczegółową diagnozę.


Task Scheduling Error: m->NextScheduledSPRetry 1107

Task Scheduling Error: Continuously busy for more than a second


Nazwa aplikacji powodującej błąd: VBoxTestOGL.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x508ac1b4
Nazwa modułu powodującego błąd: atio6axx.dll_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x4a4cea9f

Task Scheduling Error: m->NextScheduledEvent 15117


Nie można odnaleźć opisu dla identyfikatora zdarzenia 0 ze źródła MagniPicUpdater. Albo składnik wywołujący to zdarzenie nie jest zainstalowany na komputerze lokalnym, albo instalacja jest uszkodzona. Możesz zainstalować lub naprawić składnik na komputerze.

Jeśli zdarzenie pochodzi z innego komputera, wraz ze zdarzeniem może być wymagane zapisanie informacji o wyświetlaniu.

Do zdarzenia dołączono następujące informacje:

URLMON download job failed for http://kosher-toolbar.info/get/ BINDSTATUS=11 (-2146697210)

[picasso]

Pytałam o błąd explorer.exe:

 

Po drugie: dokładnie przepisz te komunikaty explorer.exe 1:1, a widać że nie tylko komunikaty explorer.exe. Wszystkie wiernie tu podaj.

Po trzecie: otwórz Dzienniki zdarzeń, wyszukaj błąd explorer.exe, wejdź w Szczegóły i przeklej tu treść błędu.

 

Z dziennika nic takiego nie przekleiłeś. Skopiuj na Pulpit folder C:\Windows\system32\winevt\Logs. Zapakuj do ZIP > na hosting > podaj tu link.

 

 

.

[kvasior]

Były to komunikaty "proces explorer przestał działać". Nie umiem znaleźć tego w dzienniku. Oto link do pliku: http://www.sendspace.com/file/axln4v

 

Proszę o jakieś rady, co dalej mam robić..

[picasso]

1. Hmmm, rzeczywiście, nie ma w gałęzi Aplikacje rekordów z explorer.exe. Niemniej błąd "explorer przestał działać" jest charakterystyczny dla zewnętrznych rozszerzeń programowych i kodeków. Problem nie występuje w Trybie awaryjnym, czyli to normalny coś ładuje. Uruchom ShellExView (wersja x64), z wciśniętym CTRL zaznacz wszystkie wpisy wyróżnione na różowym (rozszerzenia niedomyślne) tle i je wyłącz. Zresetuj system. Podaj czy błąd explorer.exe nadal występuje.

 

Z raportu wynika, że jedna ze świeżych instalacji to Defraggler. Ten program integruje w powłoce moduł odpowiadający za menu kontekstowe. Być może to coś ma do rzeczy... Tu przykład z forum: KLIK. Zobaczymy co wyniknie z testu w ShellExView.

 

2. W Dzienniku zdarzeń są i inne błędy, zawężając do odpowiedniego zakresu czasowego:

- Błędy MagniPicUpdater nieaktualne po usunięciu adware.

- Bonjour od Apple dręczy Harmonogram zadań. W Autoruns w karcie Scheduled Tasks odfajkuj zadania Bonjour.

- Masowe błędy zawieszonych usług, co pasuje do:

 

komputer zacina się na samej tapecie i jedyne wyjście to wyciągnięcie z laptopa baterii i odłączenie zasilania

 

Czy ten efekt nadal występuje po deinstalacji MBAM?

 

3. W ramach czyszczenia po adware drobne czynności. Patrz do spoilera.

 

 

 

1. Przez SHIFT+DEL skasuj odpadkowy folder C:\ProgramData\MagniPic.

 

2. Otwórz Notatik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\${SEARCH_URL}{searchTerms}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

 

 

 

 

 

.

[kvasior]

Zrobiłem jak poleciłaś, dodatkowo usunąłem MBAM i Defragglera, jednak komputer dalej się zacinał na włączaniu programów. Internetu także dalej nie było.

Po wyłączeniu wpisów na różowym tle i wejściu w normalny tryb- system wskazuje, że połączono z internetem, jednak problem z programami występuje nadal. Nie chcą sie one uruchamiać. Po kombinacji ctrl+alt+del otrzymuję:

Przy wyłączaniu komputer dalej zawiesza się na tapecie.

[picasso]

Zrobiłem jak poleciłaś, dodatkowo usunąłem MBAM i Defragglera, jednak komputer dalej się zacinał na włączaniu programów. Internetu także dalej nie było.

 

Ale czy ustały błędy explorer.exe?

 

system wskazuje, że połączono z internetem, jednak problem z programami występuje nadal. Nie chcą sie one uruchamiać. Po kombinacji ctrl+alt+del otrzymuję (...) Przy wyłączaniu komputer dalej zawiesza się na tapecie.

 

W związku z tym usuń jeszcze ESET NOD32 Antivirus. W razie problemów z deinstalacją podsuwam firmowe narzędzie ESET Uninstaller .

 

 

.

[kvasior]

Nie ustały. Usunąłem NODa i dzieje się dalej to samo.

 

Stworzyłem nowe konto i tam wszystko jest ok. Jednak nie ukrywam, że zależałoby mi na starym koncie.. Jeśli ktoś ma jakieś pomysły- proszę o wskazówki.