bo11 Opublikowano 27 Maja 2012 Zgłoś Udostępnij Opublikowano 27 Maja 2012 Witam wszystkich i proszę o pomoc. Problem polega na tym że po uruchomieniu systemu explorer.exe nie startuje jest tylko czarny ekran i kursor po włączeniu menadżera zadań mogę dodać proces explorer.exe i wtedy pokazuje się normalnie cały pulpit. System Windows 7 - 64bit, Service Pack 1 OTL: http://wklej.org/id/761036/ OLT Extras: http://wklej.org/id/761039/ Security Check: Results of screen317's Security Check version 0.99.38 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 `````````````````````````````` Antivirus/Firewall Check: avast! Antivirus Antivirus up to date! ``````````````````````````````` Anti-malware/Other Utilities Check: Java™ 6 Update 29 Java version out of date! Adobe Flash Player 10 Flash Player out of date! Adobe Flash Player 10.3.183.5 Flash Player out of Date! Adobe Reader 9 Adobe Reader out of date! Mozilla Firefox (12.0) ```````````````````````````````` Process Check: objlist.exe by Laurent Alwil Software Avast5 AvastSvc.exe Alwil Software Avast5 AvastUI.exe ``````````End of Log```````````` Z góry dziękuje za pomoc. Odnośnik do komentarza
picasso Opublikowano 27 Maja 2012 Zgłoś Udostępnij Opublikowano 27 Maja 2012 Tak, jest tu infekcja (dopisana wartość Shell), dlatego nie startuje poprawnie explorer. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\girls\winlogon.exe C:\Users\girls\uz.dat :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "winlogon"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{4D90B370-7448-47D8-8BF5-9A6B18483970}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{4D90B370-7448-47D8-8BF5-9A6B18483970}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{4D90B370-7448-47D8-8BF5-9A6B18483970}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :OTL O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKU\S-1-5-21-581477710-3847123241-665184832-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-581477710-3847123241-665184832-1001\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Zastosuj AdwCleaner z opcji Delete. Z tej akcji także powstanie log. 3. Wygeneruj do oceny nowy log z OTL z opcji Skanuj (już bez Extras), dołącz logi z wynikami usuwania pozyskane w punkcie 1 + 2. . Odnośnik do komentarza
bo11 Opublikowano 27 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2012 1: http://wklej.org/id/761103/ 2: http://wklej.org/id/761104/ 3: http://wklej.org/id/761109/ Po zastosowaniu punktu drugiego explorer.exe włączył się normalnie Odnośnik do komentarza
picasso Opublikowano 27 Maja 2012 Zgłoś Udostępnij Opublikowano 27 Maja 2012 Po zastosowaniu punktu drugiego explorer.exe włączył się normalnie Ale to punkt 1 był właściwą naprawą, punkt 2 nie ma zazębienia z usuwaniem tej infekcji. To tylko kwestia kolejnego resetu systemu. Zadania wykonane, nic więcej szkodliwego nie notuję w raportach. Wykonaj następujące operacje: 1. Mini poprawka na odpadki sponsorowane. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes\{4D90B370-7448-47D8-8BF5-9A6B18483970}: "URL" = "http://www.ask.com/web?q={searchterms}&l=dis&o=ushpl" [2011-09-06 19:40:56 | 000,000,000 | ---D | M] (Babylon OCR) -- C:\Program Files (x86)\mozilla firefox\extensions\ocr@babylon.com Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki: w OTL zastosuj Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy raport. . Odnośnik do komentarza
bo11 Opublikowano 27 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2012 1: http://wklej.org/id/761198/ 2 i 3: wykonane 4: http://wklej.org/id/761199/ Odnośnik do komentarza
picasso Opublikowano 28 Maja 2012 Zgłoś Udostępnij Opublikowano 28 Maja 2012 To co wykrył MBAM to są resztki infekcji, usuń te dwa wyniki za pomocą programu. Na koniec wykonaj zalecane aktualizacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416015FF}" = Java 6 Update 15 (64-bit)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 29"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.0 MUI"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Podsumuj czy wszystko działa poprawnie w systemie. . Odnośnik do komentarza
bo11 Opublikowano 28 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2012 Pliki usunięte, aktualizacje wykonane wszystko działa jak należy Dziękuje za szybką i fachową pomoc. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi