Skocz do zawartości

Windows XP, brak ikon paska, uruchomienie explorer.exe


Rekomendowane odpowiedzi

Witam, 

 

Mam problem z Windows XP, brak ikon i paska po uruchomieniu, wywołanie explorer.exe powoduje że na chwilę się pojawiają następnie system wylogowuje użytkownika i następuje ponowne uruchomienie systemu.Podejrzenie wirusa.

 

Załączam logi i liczę na Waszą pomoc :)

Shortcut.txtPobieranie informacji ...

Addition.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Załączyłeś dwa razy raport Shortcut, więc nie mam pełnego zestawu raportów.

Proszę dopilnować, aby były trzy pliki: FRST, Addition oraz Shortcut. Dołącz również raport z GMER

 

Dodatkowo poproszę, aby do generacji raportów użyć najnowszej wersji FRST - KLIK (normalnie taka "przedostatnia" mogłaby być, ale w najnowszej naprawiono problem z Harmonogramem zadań).

Odnośnik do komentarza

Ten komputer, jak Twój poprzedni został zainfekowany wirusem Brontok (powodującym właśnie w/w przez Ciebie problemy), więc przypuszczalnie była pomiędzy nimi wymiana plików. Przecież wyraźniej już nie mogłem Cie ostrzec. 

 

Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam.

Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji.

 

(Tj. adnotacja z poprzedniego Twojego tematu: KLIK

Systemu Windows XP i braku oprogramowania zabezpieczającego już nie skomentuj...bo nie mam siły. Aktualnie praktycznie każde oprogramowanie uchroniłoby Cię przed tą infekcją. 

 

Przed działaniami proszę spójrz jeszcze do spoileru.

 

 

  Pokaż ukrytą zawartość

 

 

Od razu jedziemy z dezynfekcją systemu. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] ()
HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\Explorer: [NoFolderOptions] 1
HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1
HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] ()
HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe [42713 2009-07-23] ()
HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] ()
Startup: C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif [2009-07-23] ()
C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" 
SearchScopes: HKLM -> DefaultScope value is missing
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\csrss.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\lsass.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\services.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\CSM7100\Local Settings\Application Data\winlogon.exe
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*.exe
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron*
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron*.*
CMD: dir /a C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia / kwarantanny, resztę zostaw i dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut (użyj najnowszej wersji FRST z przyklejonego tematu). Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...