skrzatx0 Opublikowano 5 Marca 2013 Zgłoś Udostępnij Opublikowano 5 Marca 2013 Witam, System XP 32bit i sieć Novell NetWare 5.1. Od kilku dni po zalogowaniu się w oknie clienta novell'owego ekran robi sie niebieski - nie uruchamia sie explorer.exe. Po wejściu Ctrl+Alt+Del w Menedżera zadań i dodaniu procesu jest OK. Po wybraniu w oknie logowania clienta 'tylko stacja robocza' proces explorer.exe uruchamia się normalnie, później mogę się zalogować do Novella i wszystko działa. W trybie awaryjnym także pulpit jest z ikonkami. Proszę o pomoc. Załączam logi z OTL. Z góry bardzo dziękuję. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 5 Marca 2013 Zgłoś Udostępnij Opublikowano 5 Marca 2013 Zabrakło obowiązkowego raportu GMER. Dołącz. W systemie są ślady ingerencji rootkit ZeroAccess (wariant infekujący sterowniki), GMER pozwoli zdefiniować na ile jest to czynne. Odnośnik do komentarza
skrzatx0 Opublikowano 5 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2013 Poniżej log z Gmer. Gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Nie wygląda na to, by infekcja była czynna, ale należy wyczyścić jej elementy (link symboliczny + uszkodzony Winsock + plik "bez nazwy" w system32) plus zlikwidować adware: 1. Przez Dodaj/Usuń programy odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7 oraz archaiczny Skaner on-line mks_vir. 2. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\$NtUninstallKB62753$ Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files del "\\?\C:\Windows\System32\ " /C fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB62753$ /C netsh winsock reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Cytat Od kilku dni po zalogowaniu się w oknie clienta novell'owego ekran robi sie niebieski - nie uruchamia sie explorer.exe. Po wejściu Ctrl+Alt+Del w Menedżera zadań i dodaniu procesu jest OK.Po wybraniu w oknie logowania clienta 'tylko stacja robocza' proces explorer.exe uruchamia się normalnie, później mogę się zalogować do Novella i wszystko działa. W trybie awaryjnym także pulpit jest z ikonkami. To może być problem nie związany z infekcją wcale. "Od kilku dni" = w raporcie zwraca uwagę świeża instalacja Avast wykonana 28 lutego. Avast to jeden z tych programów, które mają siłę, by wchodzić w kolizję z innymi programami ładowanymi przy starcie. Znamiennym też jest, że problemu nie ma w Trybie awaryjnym (w tym stanie nie ładuje się Avast). . Odnośnik do komentarza
skrzatx0 Opublikowano 18 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2013 Dziękuje za odpowiedź. Dopiero dziś mogłem wykonać polecenia. Załączam logi z OTL i AdwCleaner. AdwCleanerS1.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 19 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 (edytowane) W kwestii podstawowej podtrzymuję koncepcję z Avast. A pozostałe zadania wykonane i tylko poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB62753$ :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F2E392F7-5EFD-4308-9C46-74ED0AB05168}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Dla potwierdzenia pomyślności akcji, wklej do posta wyniki przetwarzania skryptu, nowy skan OTL zbędny. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. . Edytowane 19 Maja 2013 przez picasso 19.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi