Błąd "Program Eksplorator Windows przestał działać"

[wnbadrian]

Tak jak w temacie, od dnia dzisiejszego zauważyłem problem z komunikatem Explorer Windows przestał działać, poszukiwanie rozwiązania, a następnie ponowne uruchomienie exploratora, na wskutek trace wszystkie aktualnie uruchomiona okna. Czy pomożecie mi rozwiązać ten problem ? Najczęściej komunikat następuje podczas, pracy na plikach, tzn na zmianie ich nazwy i wycinaniu i wklejaniu w inne miejsca, jest to strasznie irytujące bo działam na wielu plikach na raz. Proszę o pomoc. Moje działania: skanuje własnie system nodem 32 w wersji 7

[Zappa]

Moje działania: skanuje własnie system nodem 32 w wersji 7

 

wstaw lepiej logi z FRST - problem może mieć zupełnie inne podłoże

 

https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/#1

[wnbadrian]

Załączam logi z programu FRST

Addition.txt

FRST.txt

Shortcut.txt

[Zappa]

Bład występuje bardzo często jednak ciężko stwierdzić jednoznacznie co go powoduje

 

Error: (02/14/2015 09:50:28 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4
Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24
Kod wyjątku: 0xc0000374
Przesunięcie błędu: 0x00000000000c4102
Identyfikator procesu powodującego błąd: 0x10a8
Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0
Ścieżka aplikacji powodującej błąd: explorer.exe1
Ścieżka modułu powodującego błąd: explorer.exe2
Identyfikator raportu: explorer.exe3

 

W systemie masz resztki adware i to należy usunąć. Otwórz notatnik i wklej

 

CloseProcesses:
HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
HKLM-x32\...\Run: [gmsd_pl_11] => [X]
HKU\S-1-5-21-3483416149-639397455-693731436-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Adrian\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.)
HKU\S-1-5-21-3483416149-639397455-693731436-1000\...\Run: [AdobeBridge] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150209
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150209
HKU\S-1-5-21-3483416149-639397455-693731436-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150209
SearchScopes: HKU\S-1-5-21-3483416149-639397455-693731436-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn
R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [48784 2015-02-08] (StdLib)
R1 {8d9208df-94f9-4c96-a224-97b37b0df94e}Gw64; C:\Windows\System32\drivers\{8d9208df-94f9-4c96-a224-97b37b0df94e}Gw64.sys [48792 2015-01-04] (StdLib)
R1 {bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64; C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys [48792 2015-01-08] (StdLib)
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
Task: {F35CDFF4-8123-491E-A817-E7697B8DEA4E} - System32\Tasks\LSGKZOLJ => C:\Users\Adrian\AppData\Roaming\LSGKZOLJ.exe <==== ATTENTION
Task: {B8A7BC3F-D264-40E5-A11B-3438C8218F23} - System32\Tasks\{6C8F44F4-7038-4B1C-B7E2-D2407974B639} => pcalua.exe -a "C:\Program Files (x86)\ShopperPro\SPremove.exe" <==== ATTENTION
Task: {5FF5D0E7-2DD9-4F47-BE57-7438D4CBB0D0} - System32\Tasks\{1D808979-1191-485E-9EF6-CB5C51EBD8C2} => pcalua.exe -a C:\Users\Adrian\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=brd <==== ATTENTION
Task: {1D573DFF-FF70-411F-9543-E95158410EE6} - System32\Tasks\{AFB3E263-E29D-45CD-82F7-5639C369BE75} => pcalua.exe -a "C:\Program Files (x86)\TheFreeHD-Sport TV V10\Uninstall.exe" -c /fcp=1
EmptyTemp:

 

plik zapisz jako fixlist.txt i umieść w C:\Users\Adrian\Downloads. Uruchom FRST i kliknij w Fix. Przedstaw raport Fixlog.txt.

 

2. Odinstaluj z panelu programów Akamai NetSession Interface

 

3. Pobierz AdwCleaner i wykonaj nim skan (opcja Szukaj) - przedstaw raport.

 

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

[wnbadrian]

Zrobiłem tak jak mówisz, dodaje logfile z adwcleaner, choć nie wiem czy dobrze zrozumiałem i o niego chodzi.

logfile.txt

Fixlog.txt

[Zappa]

1. Zamknij przeglądarki.

 

2. Uruchom AdwCleaner i kliknij Szukaj a potem wybierz opcję Usuń.

 

3. Uruchom system ponownie i zrób skan FRST ale nie zaznaczaj opcji Additions i Shorcut.

[wnbadrian]

Plik FRST

FRST.txt

[Zappa]

Drobna korekta

 

Otwórz notatnik i wklej

 

C:\Windows\Tasks\LSGKZOLJ.job
C:\Users\Adrian\AppData\Roaming\LSGKZOLJ
C:\ProgramData\.bf45c81f8dc8abfeecf09.dat

 

plik zapisz jako fixlist.txt i umieść w C:\Users\Adrian\Downloads. Uruchom FRST i kliknij w Fix. Przedstaw raport Fixlog.txt.

 

 

2. Przedstaw zawartość pliku Hosts > edytuj go w notatniku > scieżka do pliku 

 

c:\Windows\System32\drivers\etc\

 

musisz mieć właczone pokazywanie ukrytych plików systemowych

[wnbadrian]

hosts i fixlog

Fixlog.txt

hosts.txt

[Zappa]

1. W pliku hosts usuń tą linijkę

 

54.235.90.58 fhajokkdlhllmgenmniigcnlefjakobn

 

następnie zapisz zmiany i zostaw plik tam gdzie ma być czyli c:\Windows\System32\drivers\etc\

 

2. Przez Shift+Delete skasuj z dysku folder C:\FRST i sam program

 

3. uruchom AdwCleaner i kliknij Odinstaluj.

 

4. Monitoruj system czy pojawi się bład z explorerem. Czekaj też na ewentalne uwagi Picasso.

 

 

Tak mnie teraz natchnęło. Masz na pokładzie Autocad i Internet Explorer 11. Są ścisłe powiązania miedzy tymi aplikacjami. Rozwiązywałem kiedyś taki problem na innym forum. Moja propozycja jest nastepująca - odinstaluj IE11. Krzaczył niemiłosiernie w połączeniu z autocadem.

Edytowane 14 Lutego 2015 przez Zappa

[wnbadrian]

próbując zapisać hosts bez podanej linijki system wyświetla komunikat "odmowa dostępu"  FRST i AdwCleaner usunięte. Dziękuje. Błąd Explorera występuje nadal, lecz tym razem w plikach SKP -programu sketchUp - program do modelowania. W innych przypadkach nie zauważam błędu.

[MoncznyChleb]

@Zappa

Radzę poczekać na Picasso.

W logu widzę plik rootkita; nie usunąłeś też robaków z folderów 'Roaming'; wydaje mi się, że plik hosts powinno się czyścić przez FRST wklejeniem danej liniki z logu.

Nie chcę tworzć skryptu żeby nie ryzykować jakiemuś przeoczeniu.

Nie wiem też jak z Windowsa można odinstalować IE kiedy jest to jego integralna część

[Zappa]

próbując zapisać hosts bez podanej linijki system wyświetla komunikat "odmowa dostępu"

 

 

skopiuj plik hosts na inną partycję. Edytuj i podmień. Jak bedą problemy daj znać.

 

odinstaluj testowo IE 11. To nie jest aktualizacja obowiązkowa

 

 

W logu widzę plik rootkita;

 

gdzie? jak coś widzisz to podawaj konkrety

 

 

Żeby nie było, że śłepy jestem - wnbadrian pobierz KasperskyTDSSKiller i wykonaj skan. Jak coś wyszuka daj opcje Skip i przedstaw raport

 

https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/

Edytowane 14 Lutego 2015 przez Zappa

[MoncznyChleb]

@Zappa

Tutaj są wspomniane robaki:

2014-12-24 09:36 - 2014-12-24 09:36 - 1815520 _____ (Object Browser) C:\Users\Adrian\AppData\Roaming\DOUHXLN.exe
2015-01-04 19:49 - 2015-01-04 19:53 - 0099384 _____ () C:\Users\Adrian\AppData\Roaming\inst.exe
2014-11-08 18:32 - 2014-11-08 18:32 - 1481624 _____ (tab) C:\Users\Adrian\AppData\Roaming\OPKUK.exe

 

A tutaj rootkit:

(StdLib) C:\Windows\system32\Drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys

 

Nie wiem czy Kaspersky wykryje plik, bo wygląda na to, że rootkit jest nieaktywny.

[Zappa]

A tutaj rootkit:

(StdLib) C:\Windows\system32\Drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys

 

To nie jest żaden rootkit. Zobacz co zdejmowałem w pierwszym skrypcie. To adware i jego usługi

 

C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn

 

R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [48784 2015-02-08] (StdLib)

 

R1 {8d9208df-94f9-4c96-a224-97b37b0df94e}Gw64; C:\Windows\System32\drivers\{8d9208df-94f9-4c96-a224-97b37b0df94e}Gw64.sys [48792 2015-01-04] (StdLib)

 

R1 {bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64; C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys [48792 2015-01-08] (StdLib)

[MoncznyChleb]

Wydaje mi się, że powinieneś również usunąć ten plik, chociaż jest już niegroźny.

[Zappa]

C:\Windows\system32\Drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys

 

znajdź to i skasuj przez Shift+delete

 

reszty nie usuwam bo nie jestem przekonany co do szkodliwości.

 

Problemem głownym jest krzaczenie się explorera. I winny za to jest IE11. Ide o zakład.

[wnbadrian]

po krótkiej przerwie już wracam,podmieniłem plik hosts, usunąłem IE11, pobrałem Kasperky-ego przeskanowałem kompa nie wykrył niczego, usunąłem linijkę C:\Windows\system32\Drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys. Co ciekawe przyglądając się komunikatowi i działaniu po którym wyskakuje komunikat o błędzie explorera zauważyłem pewne powiązanie. Z chwilą gdy mam wyłączone okienko podglądu pliku w oknie, komunikat nie wyskakuje. Testowałem to przed chwilą ok 15 min i brak komunikatu. Natomiast równocześnie z włączeniem okna podglądu pojawia się komunikat explorera. Może to jakoś was nakieruje ? Dodam że specjalnie testowałem to zachowanie przez dłuższą chwilę żeby nie pisać bredni.