skrzatx0 Opublikowano 5 Marca 2013 Zgłoś Udostępnij Opublikowano 5 Marca 2013 Witam, System XP 32bit i sieć Novell NetWare 5.1. Od kilku dni po zalogowaniu się w oknie clienta novell'owego ekran robi sie niebieski - nie uruchamia sie explorer.exe. Po wejściu Ctrl+Alt+Del w Menedżera zadań i dodaniu procesu jest OK. Po wybraniu w oknie logowania clienta 'tylko stacja robocza' proces explorer.exe uruchamia się normalnie, później mogę się zalogować do Novella i wszystko działa. W trybie awaryjnym także pulpit jest z ikonkami. Proszę o pomoc. Załączam logi z OTL. Z góry bardzo dziękuję. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Marca 2013 Zgłoś Udostępnij Opublikowano 5 Marca 2013 Zabrakło obowiązkowego raportu GMER. Dołącz. W systemie są ślady ingerencji rootkit ZeroAccess (wariant infekujący sterowniki), GMER pozwoli zdefiniować na ile jest to czynne. Odnośnik do komentarza
skrzatx0 Opublikowano 5 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2013 Poniżej log z Gmer. Gmer.txt Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Nie wygląda na to, by infekcja była czynna, ale należy wyczyścić jej elementy (link symboliczny + uszkodzony Winsock + plik "bez nazwy" w system32) plus zlikwidować adware: 1. Przez Dodaj/Usuń programy odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7 oraz archaiczny Skaner on-line mks_vir. 2. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\$NtUninstallKB62753$ Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files del "\\?\C:\Windows\System32\ " /C fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB62753$ /C netsh winsock reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Od kilku dni po zalogowaniu się w oknie clienta novell'owego ekran robi sie niebieski - nie uruchamia sie explorer.exe. Po wejściu Ctrl+Alt+Del w Menedżera zadań i dodaniu procesu jest OK.Po wybraniu w oknie logowania clienta 'tylko stacja robocza' proces explorer.exe uruchamia się normalnie, później mogę się zalogować do Novella i wszystko działa. W trybie awaryjnym także pulpit jest z ikonkami. To może być problem nie związany z infekcją wcale. "Od kilku dni" = w raporcie zwraca uwagę świeża instalacja Avast wykonana 28 lutego. Avast to jeden z tych programów, które mają siłę, by wchodzić w kolizję z innymi programami ładowanymi przy starcie. Znamiennym też jest, że problemu nie ma w Trybie awaryjnym (w tym stanie nie ładuje się Avast). . Odnośnik do komentarza
skrzatx0 Opublikowano 18 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2013 Dziękuje za odpowiedź. Dopiero dziś mogłem wykonać polecenia. Załączam logi z OTL i AdwCleaner. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 (edytowane) W kwestii podstawowej podtrzymuję koncepcję z Avast. A pozostałe zadania wykonane i tylko poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB62753$ :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F2E392F7-5EFD-4308-9C46-74ED0AB05168}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Dla potwierdzenia pomyślności akcji, wklej do posta wyniki przetwarzania skryptu, nowy skan OTL zbędny. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. . Edytowane 19 Maja 2013 przez picasso 19.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi