gorg301 Opublikowano 11 Lipca 2013 Zgłoś Udostępnij Opublikowano 11 Lipca 2013 Od jakiegoś czasu po otwarciu jakiegoś programu lub folderu pojawia się komunikat typu /foto poniżej/ :"wystąpił problem z aplikacja explorer.exe i zostanie ona zamknięta.Przepraszamy za kłopoty".Rzecz w tym,że raz znikają wszystkie ikony i pasek narzędzi,a zostaje czysty ekran /tapeta/,innym razem nie.Nie dzieje się to nagminnie ale w najmniej oczekiwanych momentach.Z problem tym nie robiłem nic bo nie potrafię. Załączniki: OTL.Txt Extras.Txt Odnośnik do komentarza
Naathim Opublikowano 11 Lipca 2013 Zgłoś Udostępnij Opublikowano 11 Lipca 2013 Bo zamiast normalnego shella to tutaj jest wstawione takie coś: O20 - HKLM Winlogon: Shell - (JERZY.exe) - C:\WINDOWS\JERZY.exe (Microsoft Corporation) no i trochę adware. Dorzucić raport z Gmera:https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/ I temat wyjeżdża do działu infekcji. Odnośnik do komentarza
gorg301 Opublikowano 11 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2013 mam raport ale nie mogę go wrzucić - wyskakuje komunikat,że nie mam prawa czy coś takiego /właśnie próbuje wrzucić raport z gmera przez stronę podaną w zakładaniu tematów przez Picasa/.Tak jest tam JERZY zamiast START,ale to zrobiłem przed wyskakującymi komunikatami,ale może to i jest przyczyną? Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2013 Zgłoś Udostępnij Opublikowano 11 Lipca 2013 gorg301 nie postąpiłeś jak podaje instrukcja zapisu raportu GMER: opcja Kopiuj i zapis do nowego pliku tekstowego. Nie byłoby problemu. A problem stąd, że zapisałeś plik wprost opcją GMER, powstał plik o rozszerzeniu *.LOG. Pomoc forum (link na spodzie strony) wyjaśnia, że załączniki akceptują tylko rozszerzenie *.TXT a nie *.LOG. Albo zmień ręcznie nazwę rozszerzenia, albo zapisz do nowego pliku TXT. Tak jest tam JERZY zamiast START,ale to zrobiłem przed wyskakującymi komunikatami,ale może to i jest przyczyną? Co ten plik "Jerzy" ma robić? I skoro uruchamiasz go zamiast explorer.exe, a sypie błędami eksploratora w systemie, to możliwe, że to z winy tej modyfikacji. Co jeszcze mataczyłeś w plikach systemowych, jakie jeszcze modyfikacje były robione? . Odnośnik do komentarza
gorg301 Opublikowano 11 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2013 właśnie to zrobiłem Sorki napisałem Picasa zamiast picasso.Co jeszcze mataczyłem? /raczej eksperymentowałem/?Na zmianę napisu START natknąłem się bodajże na YOU TUBE i była tam jeszcze opcja zmiany ZAPRASZAMY,którą próbowałem zmienić ale nie wyszło.Pozostał jedynie zapis w C:\WINDOWS - Opis:interfejs użytkownika logowania systemu Windows "WITAJ JERZY",ale nie działa i nie usuwałem tego. Gmer.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2013 Zgłoś Udostępnij Opublikowano 11 Lipca 2013 Natomiast ja tu nie widzę infekcji, gdyż wynika z Twoich słów, że Jerzy.exe to ręczna celowa robota. I Jerzy.exe sypie takimi błędami w Dzienniku: Error - 2013-07-11 04:55:00 | Computer Name = GORG | Source = Application Error | ID = 1000 Description = Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł powodujący błąd ntdll.dll, wersja 5.1.2600.6055, adres błędu 0x00011689. Error - 2013-07-11 05:10:27 | Computer Name = GORG | Source = Application Error | ID = 1000 Description = Aplikacja powodująca błąd jerzy.exe, wersja 6.0.2900.5512, moduł powodujący błąd shlwapi.dll, wersja 6.0.2900.5912, adres błędu 0x000083b9. Usuń tę modyfikację, przywróć oryginalny odnośnik do explorer.exe. Zresetuj system i podaj czy błędy nadal się ujawniają. PS. Zrób tylko drobne korekty pod kątem odpadków adware. Instrukcje w spoilerze. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\vcrk08jz.default\extensions\plugin@getwebcake.com C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\vcrk08jz.default\extensions\plugin@yontoo.com C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\w8piv5v9.default-1361287132265\Stare dane programu Firefox C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installert C:\Documents and Settings\user\Dane aplikacji\ArcaBit C:\Documents and Settings\user\Dane aplikacji\ArcaVirMicroScan C:\Documents and Settings\user\Dane aplikacji\Babylon C:\Documents and Settings\user\Dane aplikacji\OpenCandy C:\Documents and Settings\user\Dane aplikacji\WebCake :OTL IE - HKU\S-1-5-21-1757981266-2049760794-839522115-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119403&tt=300513_ctrl&babsrc=SP_ss&mntrId=70FE001E8C7AB10F IE - HKU\S-1-5-21-1757981266-2049760794-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKU\S-1-5-21-1757981266-2049760794-839522115-1003\..\SearchScopes\{B2FFEF9E-25E3-4BFB-92B6-512272C5F5CE}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=512435&p={searchTerms} O3 - HKU\S-1-5-21-1757981266-2049760794-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\point32.sys -- (Point32) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Po wszystkim (włącznie z korektą Shell z Jerzy.exe na explorer.exe) zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
gorg301 Opublikowano 11 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2013 Zabiorę się za to wszystko jutro bo muszę lecieć do pracy Odnośnik do komentarza
gorg301 Opublikowano 12 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2013 Wykonałem czynności wymienione w tych punktach.Komp wolniej ładuje się, od paska ładowania Windows - czarny ekran - "zapraszamy" ponad 20 sek. Pasek narzędzi i avast drugie tyle oraz pierwsze otwarcie przeglądarki /przedtem szybciej/.Zamykanie systemu - OK. W sobotę "wyskoczył" dwa razy komunikat ale nie miałem możliwości tego utrwalić /zniknęło wszystko z ekranu/.Ogólnie wcześniej częściej "wyskakiwały" mi te komunikaty.Na wszelki wypadek przeskanowałem pod kątem wirusów avastem / zero infekcji/ oraz Arcavirmicroscan ustawione na full / w sumie też zero infekcji/.Dodam jeszcze,że po tych operacjach zaczęło działać "wyszukaj".Temat zostawiłbym parę dni otwarty do dalszego testowania. OTL.Txt 07122013_093328-1.txt Odnośnik do komentarza
gorg301 Opublikowano 23 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2013 Nowa instalka systemu i ok Temat do zamknięcia Odnośnik do komentarza
Rekomendowane odpowiedzi