agresywneklapki Opublikowano 18 Lutego 2012 Zgłoś Udostępnij Opublikowano 18 Lutego 2012 Witam, dostałem do "zrobienia" laptopa osoby mało obeznanej z komputerami, z informacją iż "kiedyś był jakiś wirus ale kolega go usunął, jednak dalej nie działa" Objawy są następujące: system włącza się normalnie do momentu w którym pokazuje się napis "zapraszamy" i potem zamiast się pojawić pulpit to jest tylko czarne tło i 2 otwarte okna z "moje dokumenty", aby system normalnie się włączył muszę uruchomić menadżera zadań i ręcznie odpalić explorer.exe, po tych zabiegach system wydaje się działać normalnie. To co już zrobiłem: wywalenie avasta w jakiejś starej nieaktualnej wersji, instalacja aktualnego AVG Free 2012 i przeskanowanie systemu (nic nie wykrył), usunięcie jakiś drobnych śmieci programem AVG PC Tuneup + ogólnie aktualizacja wszystkich programów i systemu bo nie miał zainstalowane żadnej łatki od momentu premiery Win 7 Jednak problem pozostał, nadal trzeba ręcznie uruchamiać explorera, co z tym fantem zrobić ? Wydaje mi się że coś tam jeszcze siedzi lub siedziało i zostawiło po sobie bałagan, żadne komunikaty się nie pokazują. http://www.youtube.com/watch?v=MMGbfXh_Hl0 Tak to wygląda. SecurityCheck Results of screen317's Security Check version 0.99.31 Windows 7 Service Pack 1 x86 (UAC is disabled!) Internet Explorer 9 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! AVG 2012 AVG PC Tuneup WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: AVG PC Tuneup Java™ 6 Update 31 Adobe Flash Player 11.1.102.62 Adobe Reader X (10.1.2) Mozilla Firefox (10.0.2) ```````````````````````````````` Process Check: objlist.exe by Laurent AVG avgwdsvc.exe AVG avgtray.exe AVG avgrsx.exe AVG avgnsx.exe AVG avgemc.exe ``````````End of Log```````````` Extras.Txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2012 Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Problem ze startem explorer.exe i otwieraniem podwójnych Moich Dokumentów to istotnie konsekwencja infekcji. Tzn. obecny dubel odnośnika do userinit.exe w wartości Userinit (tu nie może być podwójnego wołania tego samego) oraz dubel wartości Shell (prawidłowy Shell to tylko ten w HKLM a nie w HKCU) noszący odnośnik do explorer.exe oraz usuniętego już pliku infekcji: O20 - HKLM Winlogon: UserInit - (C:\windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\windows\System32\userinit.exe (Microsoft Corporation)O20 - HKU\S-1-5-21-1050118910-3127853698-777792410-1002 Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)O20 - HKU\S-1-5-21-1050118910-3127853698-777792410-1002 Winlogon: Shell - ("C:\Users\Brygida\winlogon.exe") - File not found 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=- "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku wybierz opcję Scal 2. Zresetuj system i podaj rezultaty czy już startuje powłoka jak należy. . Odnośnik do komentarza
agresywneklapki Opublikowano 19 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Dzięki, teraz system uruchamia się już normalnie. Odnośnik do komentarza
Rekomendowane odpowiedzi