Skocz do zawartości

Windows XP, brak ikon paska, uruchomienie explorer.exe


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Załączyłeś dwa razy raport Shortcut, więc nie mam pełnego zestawu raportów.

Proszę dopilnować, aby były trzy pliki: FRST, Addition oraz Shortcut. Dołącz również raport z GMER

 

Dodatkowo poproszę, aby do generacji raportów użyć najnowszej wersji FRST - KLIK (normalnie taka "przedostatnia" mogłaby być, ale w najnowszej naprawiono problem z Harmonogramem zadań).

Odnośnik do komentarza

Ten komputer, jak Twój poprzedni został zainfekowany wirusem Brontok (powodującym właśnie w/w przez Ciebie problemy), więc przypuszczalnie była pomiędzy nimi wymiana plików. Przecież wyraźniej już nie mogłem Cie ostrzec. 

 

Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam.

Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji.

 

(Tj. adnotacja z poprzedniego Twojego tematu: KLIK

Systemu Windows XP i braku oprogramowania zabezpieczającego już nie skomentuj...bo nie mam siły. Aktualnie praktycznie każde oprogramowanie uchroniłoby Cię przed tą infekcją. 

 

Przed działaniami proszę spójrz jeszcze do spoileru.

 

 

Startup: C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\A17CF6.lnk [2017-06-12]

ShortcutTarget: A17CF6.lnk -> C:\WINDOWS\system32\C3C5D7\A17CF6.EXE ()

Startup: C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\BD462C.lnk [2017-06-13]

ShortcutTarget: BD462C.lnk -> C:\WINDOWS\system32\A7908C\BD462C.EXE ()

2017-06-13 13:22 - 2017-06-13 13:22 - 00000000 ___HD C:\WINDOWS\system32\A7908C

2017-06-13 13:22 - 2017-06-13 13:22 - 00000000 ___HD C:\WINDOWS\system32\693AC9

2017-06-13 13:22 - 2017-06-13 13:22 - 00000000 ___HD C:\WINDOWS\system32\3CFFA8

2017-06-13 13:22 - 2017-06-13 13:22 - 00000000 ___HD C:\WINDOWS\system32\1C3060

 

Czy te w/w wpisy / pliki są Ci znane? Nie mogę ich coś połączyć z infekcją tu obecną. Widziałem coś podobnego podczas leczenie infekcji skrótowej, aczkolwiek to chyba nie to. Jeśli znasz te pliki to zignoruj ten spoiler, a jeśli nie (i nie są komponentami Waszego firmowego oprogramowania) to załącz je w skrypcie w pkt. 2.

 

 

Od razu jedziemy z dezynfekcją systemu. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] ()
HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\Explorer: [NoFolderOptions] 1
HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1
HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] ()
HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe [42713 2009-07-23] ()
HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] ()
Startup: C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif [2009-07-23] ()
C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" 
SearchScopes: HKLM -> DefaultScope value is missing
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\csrss.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\lsass.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\services.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\CSM7100\Local Settings\Application Data\winlogon.exe
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*.exe
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron*
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron*.*
CMD: dir /a C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia / kwarantanny, resztę zostaw i dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut (użyj najnowszej wersji FRST z przyklejonego tematu). Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...