Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Komunikat: błąd systemu - explorer.exe i brak minerd.dll + wirusy

Vess

Przez Vess
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Vess

Vess

Opublikowano
Opublikowano

Witam,

na moim laptopie co pewien czas (raz co minutę, czasem co 10 minut) pojawia się komunikat:

tytuł "explorer.exe - Błąd systemu"

treść "Nie można uruchomić programu, ponieważ na komputerze nie znaleziono minerd.dll. Spróbuj ponownie zainstalować program, aby naprawić ten problem."

Szukając pomocy trafiłem na temat na tym forum który wydał mi się podobny

hxxp://www.fixitpc.pl/topic/19749-problem-z-explorerexe/

Problemy zaczęły się po podłączeniu pendrive od innej osoby. Od razu załączyła się Avira i wykryła zagrożenie w pliku minerd.dll, po pewnym czasie także w pliku csrss.exe. Od tego momentu pojawia się komunikat z błędem systemu jak powyżej.

Przeskanowałem cały system Avirą - nie wykrył zagrożenia. Logi do w/w działań w załączeniu.

Później trafiłem na tą stronę - wymagane logi w załączeniu.

Bardzo proszę o pomoc.

Addition.txt

AVSCAN-20140108-162308-71C883E0 zagrożenie 1.LOG.txt

AVSCAN-20140108-162705-92D5533A.LOG.txt

AVSCAN-20140108-164725-3CDC5EC4 zagrożenie 2.LOG.txt

Extras.Txt

FRST.txt

log GMER.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Tak jest, infekcja tu działa, fałszywe svchost.exe + winlogon.exe w procesach. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Users\M\AppData\Roaming\pwo6\svchost.exe
() C:\Users\M\AppData\Local\Temp\_MEI51002\bin\winlogon.exe
HKCU\...\Run: [pwo6] - C:\Users\M\AppData\Roaming\pwo6\svchost.exe [7321472 2013-12-19] ()
HKLM\...\Run: [] - [x]
HKLM-x32\...\Run: [] - [x]
S3 cpuz130; \??\C:\Users\M\AppData\Local\Temp\cpuz130\cpuz_x64.sys [x]
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\Users\M\AppData\Roaming\pwo6
C:\Users\M\AppData\Local\Temp\_MEI51002

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj wątpliwy program SmileyBox.

 

3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza
Vess

Vess

Opublikowano
  • Autor
Opublikowano

Wykonałem kolejno zalecone kroki. W pierwszym FRST zrestartował komputer. Po restarcie w folderze w którym miałem programy diagnostyczne pozostał mi tylko plik fixlog.txt. Pozostałe (OTL, FRST, GMER oraz raporty ze skanów oraz np. zrzut z ekranu z zaleceniami) zniknęły.

 

Pozostałe kroki bez dodatkowych sensacji.

 

fixlog i raport frst w załączeniu.

 

Od włączenia komputera po wykonaniu zaleceń nie wyskakuje okno "błąd eksplorera...." (prawie godzina)

Fixlog.txt

FRST.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Po restarcie w folderze w którym miałem programy diagnostyczne pozostał mi tylko plik fixlog.txt. Pozostałe (OTL, FRST, GMER oraz raporty ze skanów oraz np. zrzut z ekranu z zaleceniami) zniknęły.

To był bug w FRST (już naprawiony). Pliki zostały przesunięte do kwarantanny C:\FRST\Quarantine. Nie ma co wyciągać stamtąd plików, bo z tego co rozumiem miałeś tam tylko używane tu w diagnostyce materiały, a my właśnie kończymy, i tak byśmy to usuwali.

 

Wg najnowszego raportu FRST wszystko pomyślnie usunięte, sam to zresztą potwierdzasz wspominając ustąpienie błędu. Finalizujemy sprawy:

 

1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Dla pewności zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Jeśli nic, raport oczywiście zbędny.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wyniki MBAM to nie powiązane z wątkiem przewodnim drobnostki, czyli adware (instalator iLivid i platforma OpenCandy zintegrowana w PrimoPDF). Wyniki do usunięcia. Przez SHIFT+DEL skasuj cały folder C:\Program Files (x86)\Nitro PDF\PrimoPDF\OpenCandy.

 

I zaktualizuj ten program:

 

==================== Installed Programs ======================
 

Adobe Reader X (10.1.8) (x32 Version: 10.1.8 - Adobe Systems Incorporated)

 

To tyle z mojej strony.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...