ServPL Opublikowano 20 Lutego 2012 Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Witam.mam problem od paru dni z moim komputerem, gdy go wlaczam nie uruchamia sie explorer.exe, musze go recznie wlaczyc poprzez menedzera. Z czego udalo mi sie wyczytac jest to wina jakies infekcji. Prosiłbym o pomoc. ponizej wstawiam logi. Pozdrawiam. Moj system to Windows 7 Ultimate 64 bitowy. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2012 Zgłoś Udostępnij Opublikowano 20 Lutego 2012 Tak, dokładnie masz infekcję jak z tematu do którego się odnosisz, widziałam że czytałeś. Tylko różnica taka, że u Ciebie infekcja jest czynna. Ponadto, masz niedoczyszczone resztki starszej infekcji Qooqlle. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [crrss] C:\Windows\SysWOW64\crrss.exe (Provtech Limited) O4 - HKLM..\Run: [TaskTray] File not found O4 - HKU\S-1-5-21-3569006367-407916940-3798159857-1000..\Run: [jushed] C:\ProgramData\jushed.exe File not found O4 - HKU\S-1-5-21-3569006367-407916940-3798159857-1000..\Run: [winlogon] C:\Users\aaa\winlogon.exe (Provtech Limited) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\crrss.exe) - C:\Windows\SysWOW64\crrss.exe (Provtech Limited) :Files C:\Users\aaa\AppData\Local\nircmd.exe C:\Users\aaa\AppData\Local\Codecs.exe C:\Users\aaa\AppData\Local\operaprefs.ini C:\Users\aaa\AppData\Roaming\System.dat C:\Users\aaa\AppData\Roaming\DirectX.dat C:\Users\aaa\AppData\Roaming\System.dat C:\Users\aaa\AppData\Roaming\Windows.dat C:\Users\aaa\AppData\Roaming\etc.dat C:\Users\aaa\AppData\Roaming\DirectX.dat C:\ProgramData\operaprefs.ini C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\Windows\Tasks\At1.job :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otworzy się automatycznie log z wynikami usuwania. 2. Przejdź do Panelu sterowania do modułu deinstalacji programów i usuiń Ask Toolbar. 3. Wygeneruj nowy log z OTL opcją Skanuj (Extras po raz drugi niepotrzebne) + dołącz log z wynikami usuwania z punktu 1. . Odnośnik do komentarza
ServPL Opublikowano 20 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2012 explorer.exe dalej sie nie wlacza, podaje wynik i nowy log. wynik.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Skrypt jakoby wykonany i wpisy Shell jakoby już poprawne: O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)O20 - HKLM Winlogon: UserInit - (c:\windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation) Podaj inny typ skanu OTL, czyli w sekcji Rejestr przestaw "Użyj filtrowania" na Wszystko i zrób skanowanie. . Odnośnik do komentarza
ServPL Opublikowano 21 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2012 zresetowałem komputer 2 razy i zaczalo byc wszystko ok, poza jednym procesem podejrzanym. mam taki jeden proces uruchomiony winlogon.exe i nie moge go w ogole zamknac klikam w wlasciwosci, w lokalizacje pliku "echo". probuje go zamknac "odmowa dostepu" a jestem adminem. na pewno jakis wirus, bo avast cos mi ostatnio na ten temat pokazał. Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Coś mi się właśnie "podejrzane" wydawało, że mimo poprawnych wpisów nadal nie startuje explorer.exe. mam taki jeden proces uruchomiony winlogon.exe i nie moge go w ogole zamknac klikam w wlasciwosci, w lokalizacje pliku "echo". probuje go zamknac "odmowa dostepu" a jestem adminem. na pewno jakis wirus, bo avast cos mi ostatnio na ten temat pokazał. Tu był następujący wpis: O4 - HKU\S-1-5-21-3569006367-407916940-3798159857-1000..\Run: [winlogon] C:\Users\aaa\winlogon.exe (Provtech Limited) OTL usunął z rejestru, pliku nie znalazł: Registry value HKEY_USERS\S-1-5-21-3569006367-407916940-3798159857-1000\Software\Microsoft\Windows\CurrentVersion\Run\\winlogon deleted successfully.File C:\Users\aaa\winlogon.exe not found. Pokaż obrazek z Właściwościami tego procesu + nowy log z OTL (na standardowych ustawieniach). . Odnośnik do komentarza
ServPL Opublikowano 21 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2012 w tym problem, ze wlasciwosci nie da sie otworzyc jest po prostu "Echo", w innych procesach moge normalnie zobaczyc wlasciwosci, czy go po prostu zakonczyc. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2012 Zgłoś Udostępnij Opublikowano 21 Lutego 2012 Przeprowadź czynności końcowe: 1. Uruchom Sprzątanie w OTL, które usunie z dysku OTL wraz z jego kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek przeprowadź skanowanie za pomocą Malwarebytes Anti-Malware. Pokaż log, o ile coś zostanie znalezione. w tym problem, ze wlasciwosci nie da sie otworzyc jest po prostu "Echo", w innych procesach moge normalnie zobaczyc wlasciwosci, czy go po prostu zakonczyc. W tym momencie rozumiem, że "Echo" to była Twoja osobliwa nazwa na zjawisko, że Właściwości się nie otwierają. Uprzednio zrozumiałam, że napis "Echo" widzisz we Właściwościach. Czyli wszystko w porządku. Próbujesz ruszyć nietykalny proces Windows. Bycie administratorem systemu nie uprawnia Cię do manipulacji prowadzących do podcięcia gałęzi na której się siedzi. Jest wiele stref, gdzie uprawnienia pełne administratora to tzw. pobożne życzenie. Oto ów proces (brak opisów + Właściwości są nie do otworzenia): A oto co się dzieje po użyciu opcji "Pokaż procesy wszystkich użytkowników" (pojawiają się o nim informacje i można otworzyć Właściwości): Nie masz po prostu uprawnień, by manipulować na procesie systemowym. Zabijanie procesu zaś nie wchodzi w grę. Patrz na opis za co ten proces odpowiada. . Odnośnik do komentarza
ServPL Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 nic nie wykryło, dzieki za pomoc. Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Na koniec wykonaj drobne aktualizacje oprogramowania. Tu m.in. na Twojej liście zainstalowanych widnieją: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl)"Nowe Gadu-Gadu" = Nowe Gadu-Gadu Szczegóły aktualizacyjne: KLIK. Proponuję też rozglądnąć się za alternatywą dla NGG: KLIK (WTW, Miranda, AQQ, Kadu). . Odnośnik do komentarza
Rekomendowane odpowiedzi