okiem Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 Witam Mój problem polega na tym, że po jakiś alertach wirusowych nie wchodzi mi explorer. Jest zlokalizowany we właściwym miejscu, ma też właściwy wpis w rejestrze - ale przy starcie systemu po ekranie wyboru użytkownika wchodzi czarny ekran (kilka procesów urochomionych). Muszę używać menadżera zadań a potem wszystko wygląda OK. Co ciekawe, przy tym starcie systemu na czarnym ekranie czasem wyświetlany jest podgląd jednego katalogu (który kiedyś miałem otwarty przy zamykaniu systemu). Załączam raporty OTL i ShelExView i katalog LOG. Przeskanowanie GMERem nie dało żydnych malwarów. Będę wdzięczny za pomoc. raporty - http://www.okiem.pl/pliki/okiem.zip Odnośnik do komentarza
Flavius Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 w logu masz: O4 - HKLM..\Run: [crrss] C:\Windows\system32\crrss.exe File not found O20 - HKLM Winlogon: TaskMan - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-3118087889-2303048493-1506528142-1000..\Run: [winlogon] C:\Users\toperz\winlogon.exe File not found O20 - HKU\S-1-5-21-3118087889-2303048493-1506528142-1000 Winlogon: Shell - ("C:\Users\toperz\winlogon.exe") - File not found to też wydaje mi się podejrzane: [3 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] + @Alternate Data Stream - 128 bytes -> C:\Windows:nlsPreferences Bo o ile wiem na C:\Windows ADS-ów nie powinno być choćby najmniejszych Temat raczej do działu wirusów.To chyba coś podobnego do tego http://www.youtube.com/watch?v=NKc9Js3soZU Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 (edytowane) Flavius to też wydaje mi się podejrzane:] Pierwsze: to obliczenia ile plików tymczasowych leży w katalogu Windows, pod komendę [emptytemp]. Drugie: strumień Nalpeiron Licensing Service (KLIK). Ma to w logu: [2012-02-27 15:10:06 | 000,063,488 | ---- | C] (Nalpeiron Ltd.) -- C:\Windows\System32\nlssrv32.exe SRV - [2011-04-15 13:10:20 | 000,063,488 | ---- | M] () [Disabled | Stopped] -- C:\Windows\System32\\nlssrv32.exe -- (nlsX86cc) okiem Temat przenoszę do działu Malware. Mój problem polega na tym, że po jakiś alertach wirusowych nie wchodzi mi explorer. Jest zlokalizowany we właściwym miejscu, ma też właściwy wpis w rejestrze - ale przy starcie systemu po ekranie wyboru użytkownika wchodzi czarny ekran (kilka procesów urochomionych). Muszę używać menadżera zadań a potem wszystko wygląda OK. Co ciekawe, przy tym starcie systemu na czarnym ekranie czasem wyświetlany jest podgląd jednego katalogu (który kiedyś miałem otwarty przy zamykaniu systemu). Infekcja, która ostatnio jest tu w co drugim temacie w dziale Malware. Winę ponosi już zamalony przez Flaviusa dodany wtórnie wpis Shell w gałęzi HKCU (domyślnie Shell to ten w HKLM). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "winlogon"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "crrss"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 2. Wygeneruj nowy log z OTL opcją Skanuj (bez Extras), log dołącz jako załącznik posta. Dorzuć i log z wynikami usuwania pozyskany w punkcie 1. . Edytowane 1 Kwietnia 2012 przez picasso 1.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi