Explorer.exe nie startuje - czarny ekran

[choco]

Wiem, że niedawno dodałem temat z innym problemem, ale ten akurat dotyczy zupełnie innego komputera. heh plaga widziałem podobny wątek, problem wygląda podobnie, ale podrzucę logi bo może tylko mi się wydaje, że to samo.

 

System vista 32bit. Po uruchomieniu czarny ekran, można ręcznie wystartować explorera, po tym zabiegu działa.

 

OTL:

http://wklejto.pl/117835

otl extras:

http://wklejto.pl/117836

 

Gmer:

http://wklejto.pl/117848

 

p.s. w menedżerze zadań zauważyłem, że standardowo oprócz winlogon pojawia się drugi proces z szczegółami: Croak Cups Barge Polio Bow Audit

[Landuss]

Według logów jest tutaj infekcja w postaci fałszywego "winlogon":

 

O4 - HKU\S-1-5-21-3295823031-3693506651-796330809-1000..\Run: [winlogon] C:\Users\Agnieszka\winlogon.exe (Tomasz Pawlak)

 

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Users\Agnieszka\winlogon.exe
C:\ProgramData\Babylon
C:\Users\Agnieszka\AppData\Local\Babylon
C:\Users\Agnieszka\AppData\Roaming\Babylon
 
:Reg
[HKEY_USERS\S-1-5-21-3295823031-3693506651-796330809-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"winlogon"=-
[HKEY_USERS\S-1-5-21-3295823031-3693506651-796330809-1000\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy problem z explorerem nadaj wystepuje.

[choco]

Dalej czarne tło po uruchomieniu. Proces winlogon dalej występuje podwójnie.

Ponownie otl:

http://wklejto.pl/117859

 

extras:

http://wklejto.pl/117860

[Landuss]

Ale skrypt się kompletnie nie wykonał. Powtórz to i patrz uważnie czy dobrze robisz.

[choco]

Wkleiłem skrypt, dałem wykonaj, tak jakby zostałem wylogowany no i uruchomiłem komputer ponownie bez logowania. Nie przyniosło to efektu.

 

http://wklejto.pl/117949

http://wklejto.pl/117950

[Landuss]

Nic a nic się tu nie wykonuje. Zrób to z poziomu trybu awaryjnego.

[choco]

Chyba teraz się udało wykonać.

Tu jest log który pojawił się po uruchomieniu otla po resecie komputera:

http://wklej.to/d04LC

 

a tu wynik ponownego skanowania:

http://wklej.to/jN1d0

 

oraz extras:

http://wklej.to/CKL76

 

 

Ogólnie to po resecie pojawiły się moje dokumenty na czarnym tle. Dalej musiałem ręcznie uruchomić explorera.Drugi winlogon już nie pojawia się w menedżerze.

[Landuss]

Infekcja nadal aktywna i to w szerszym wydaniu. W takiej sytuacji nie ma się co patyczkować. Użyj zgodnie z wytycznymi narzędzia ComboFix i przedstaw wynikowy raport. Po tej operacji wykonaj też nowe logi z OTL i przedstaw.

[choco]

Combofix:

http://www.wklejto.pl/118279

 

 

Otl po combofixie:

http://www.wklejto.pl/118283

 

 

extras:

http://www.wklejto.pl/118284

 

Póki co efekt jest ten sam co wcześniej. Czarne tło - konieczność ręcznego uruchamiana explorera.exe.

[Landuss]

Wklej do notatnika ten tekst:

 

File::
c:\windows\system32\crrss.exe
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"crrss"=-
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"shell"=-

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

 

Do obejrzenia dajesz nowy log z ComboFix oraz z OTL (bez ekstras)

[choco]

Combofix:

http://www.wklejto.pl/118411

 

Otl:

http://www.wklejto.pl/118413

 

 

Wygląda na to, że komputer uruchamia się prawidłowo. Dzięki Proszę jeszcze o sprawdzenie czy według logów nie zostało nic szkodliwego.

[Landuss]

Tym razem wszystko poszło jak należy. Można przejść do kończenia sprawy.

 

1. Wciśnij kombinację klawisza z flaga Windows + R wklej i wywołaj polecenie "C:\Users\Agnieszka\Desktop\ComboFix.exe" /uninstall

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Opróżnij folder przywracania systemu: KLIK

 

4. Możesz wykonać dodatkowo skan przez Malwarebytes Anti-Malware

[choco]

ok, dziękuję za pomoc