Problem z explorer.exe i startem programów

[jeLLonek]

Witam wszystkich i proszę o pomoc.

Sprawdzenie logow OTL, Extras, ComboFix.

 

Problem polegał na tym że po uruchomieniu systemu explorer.exe nie startował był tylko czarny ekran i kursor.

Po przez menadżera zadań (Ctrl+Shift+Esc) dodawałem proces explorer.exe i wtedy ukazywał się normalnie cały pulpit.

 

Poradziłem sobie z tym problemem ale część programów nie startuje i działa to "kulawo".

 

System Windows 7 - 32bit, Service Pack 1

OTL.Txt

Extras.Txt

log_ComboFix.txt

[Landuss]

Zacząć należy od tego, że ComboFix na własną rękę używać nie powinieneś. Program w dodatku nic ciekawego nie zrobił. Usunął jedynie śmiecia facemoods (bez znaczenia dla problemu głównego). Twierdzi na natomiast, że systemowy userinit.exe jest zainfekowany lub ewentualnie uszkodzony:

 

c:\windows\system32\userinit.exe . . . jest zainfekowany!!

 

Biorąc pod uwagę wielkość pliku jaką widać w OTL to może być prawda, że coś tu jest z tym plikiem nie tak.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

sfc /scanfile=C:\Windows\system32\userinit.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Otworzy się log, który zachowaj i pokaż na forum.

[jeLLonek]

2012-06-30 12:57:19, Info CSI 00000009 [sR] Verifying 1 components

2012-06-30 12:57:19, Info CSI 0000000a [sR] Beginning Verify and Repair transaction

2012-06-30 12:57:19, Info CSI 0000000b [sR] Cannot repair member file [l:24{12}]"userinit.exe" of Microsoft-Windows-UserInit, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing

2012-06-30 12:57:19, Info CSI 0000000c [sR] Cannot repair member file [l:24{12}]"userinit.exe" of Microsoft-Windows-UserInit, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing

2012-06-30 12:57:19, Info CSI 0000000d [sR] This component was referenced by [l:198{99}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~x86~~6.1.7601.17514.WindowsFoundationDelivery"

2012-06-30 12:57:20, Info CSI 0000000f [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"userinit.exe"; source file in store is also corrupted

2012-06-30 12:57:20, Info CSI 00000011 [sR] Verify complete

2012-06-30 12:57:20, Info CSI 00000012 [sR] Repairing 1 components

2012-06-30 12:57:20, Info CSI 00000013 [sR] Beginning Verify and Repair transaction

2012-06-30 12:57:20, Info CSI 00000014 [sR] Cannot repair member file [l:24{12}]"userinit.exe" of Microsoft-Windows-UserInit, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing

2012-06-30 12:57:20, Info CSI 00000015 [sR] Cannot repair member file [l:24{12}]"userinit.exe" of Microsoft-Windows-UserInit, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing

2012-06-30 12:57:20, Info CSI 00000016 [sR] This component was referenced by [l:198{99}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~x86~~6.1.7601.17514.WindowsFoundationDelivery"

2012-06-30 12:57:20, Info CSI 00000018 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"userinit.exe"; source file in store is also corrupted

2012-06-30 12:57:20, Info CSI 0000001a [sR] Repair complete

[Landuss]

Narzędzie wykryło naruszenie w pliku ale nie jestem pewny czy zostało to naprawione.

 

Sprawdzimy zgodność sum kontrolnych tego pliku. Uruchom SystemLook, w oknie wklej:

 

:filefind
userinit.exe

 

Klik w Look. Przedstaw wynikowy raport. Jeszcze tak zapytam czy problemy nadal występują?

[jeLLonek]

Problem z każdym kolejnym zabiegiem maleje ale jeszcze wszystko się nie uruchamia tak jak powinno.

 

raport:

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 10:45 on 01/07/2012 by Marcin

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "userinit.exe"

C:\Windows\erdnt\cache\userinit.exe --a---- 2616320 bytes [19:20 29/06/2012] [05:30 25/02/2011] 8B88EBBB05A0E56B7DCC708498C02B3E

C:\Windows\System32\userinit.exe --a---- 2616320 bytes [17:55 29/06/2012] [05:30 25/02/2011] 8B88EBBB05A0E56B7DCC708498C02B3E

 

-= EOF =-

[Landuss]

Musisz być bardziej konkretny - co to znaczy "jeszcze wszystko się nie uruchamia tak jak powinno"?

 

Wykonaj czynności kosmetyczne, usuwając puste wpisy i inne odpadki:

 

1. Wejdź w panel usuwania programów i odinstaluj DAEMON Tools Toolbar oraz Akamai NetSession Interface

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=make&s={searchTerms}&f=4
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms}
[2011-12-30 13:17:47 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\ps7aqanc.default\extensions\ffxtlbr@Facemoods.com
[2011-12-30 13:18:21 | 000,002,047 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Marcin\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
[2012-06-29 19:52:28 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2012-06-29 19:52:28 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2012-06-29 19:52:28 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2012-06-29 19:51:11 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012-06-29 19:50:16 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012-06-29 19:52:28 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2012-06-29 19:52:28 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2012-06-29 19:52:28 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2012-06-29 19:52:28 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2012-06-29 19:52:28 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
 
:Services
StarWindServiceAE
ZTEusbser6k
ZTEusbnmea
ZTEusbmdm6k
massfilter
ipswuio
catchme
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Podsumuj też zachowanie systemu na chwilę obecną.

[jeLLonek]

ponownie explorer nie startuje samodzielnie

OTL_nowy.Txt

[Landuss]

ponownie explorer nie startuje samodzielnie

 

Może to kwestia jego rozszerzeń. Pobierz i uruchom ShellExView a następnie posegreguj za pomocą kolumny producenta wszystkie różowe (niedomyślne) rozszerzenia, z wciśniętym CTRL zaznacz hurtem i wyłącz. Zrestartuj system i zobacz czy problem nadal wystepuje.

[picasso]

Ten plik userinit.exe przecież w ogóle nie został naprawiony, mówi o tym skan SFC:

 

2012-06-30 12:57:20, Info CSI 00000018 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"userinit.exe"; source file in store is also corrupted

 

Wyniki z SystemLook pokazują, że suma MD5 pliku (8B88EBBB05A0E56B7DCC708498C02B3E) jest niezgodna z oczekiwaną przez SP1 (61AC3EFDFACFDD3F0F11DD4FD4044223). Ponadto, mało wyników, skan widzi tylko wystąpienie w system32, brak w WinSxS. Oto jak to powinno wyglądać na Windows 7 x86 SP1:

 

SystemLook 04.09.10 by jpshortstuff
Log created at 11:42 on 02/07/2012 by Aretuza
Administrator - Elevation successful
 
========== filefind ==========
 
Searching for "userinit.exe"
C:\Windows\System32\userinit.exe	--a---- 26624 bytes	[16:13 23/07/2011]	[12:17 20/11/2010] 61AC3EFDFACFDD3F0F11DD4FD4044223
C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe	--a---- 26112 bytes	[23:34 13/07/2009]	[01:14 14/07/2009] 6DE80F60D7DE9CE6B8C2DDFDF79EF175
C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe	--a---- 26624 bytes	[16:13 23/07/2011]	[12:17 20/11/2010] 61AC3EFDFACFDD3F0F11DD4FD4044223
 
-= EOF =-

 

Poza tym, dziwne tu rzeczy się działy. Pierwszy log z OTL (zrobiony już po ComboFix) pokazuje kompletnie źle ustawioną wartość Userinit równą wartości Shell:

 

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

 

Ostatni już jakoby poprawną (tylko ciekawe jak to się "samoczynnie" naprawiło, bo nie było tu żadnych akcji pod tym kątem):

 

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\System32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)

 

 

 

---

Wykonaj podmianę pliku userinit.exe:

 

1. Do pobrania wersja pliku zgodna z komponentem SP1 x86: KLIK. Rozpakowany plik umieść w utworzonym ręcznie tymczasowym folderze C:\Tmp.

 

2. Otwórz Notatnik i wklej w nim:

 

FCopy::
C:\Tmp\userinit.exe | C:\Windows\System32\userinit.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

3. Usuń aktualny plik C:\Windows\Logs\CBS\CBS.log. Wykonaj ogólną weryfikację poprawności plików (poprzednio było tylko na jeden plik, a zdaje się, że tu również jest uszkodzenie w WinSxS) poprzez komendę sfc /scannow. Stwórz log filtrowany tak samo jak poprzednio komendą:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

3. Wykonaj ponownie szukanie w SystemLook na te same warunki co poprzednio.

 

Czyli przedstawiasz trzy logi: z ComboFix, z filtrowania SFC, z SystemLook.

 

 

 

 

.

[jeLLonek]

Zdaje się, że problem rozwiązany system wystartował

combofix_log_1-07.txt

SystemLook_1-07.txt

sfc.txt

[picasso]

SFC widzi więcej naruszeń i brakujących plików. Na początek powiedz mi czy są na dysku te dwa foldery:

 

C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116

C:\Windows\winsxs\x86_microsoft-windows-c..nt-xpsrasterservice_31bf3856ad364e35_6.1.7601.17514_none_1ca4c6ec8a4317f4

 

[jeLLonek]

Tak znajdują się.

[picasso]

1. Przekopiuj plik C:\Windows\System32\userinit.exe do katalogu:

 

C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116

 

2. Dosyłam brakujący XpsRasterService.dll: KLIK. Wsadź go do katalogu:

 

C:\Windows\winsxs\x86_microsoft-windows-c..nt-xpsrasterservice_31bf3856ad364e35_6.1.7601.17514_none_1ca4c6ec8a4317f4

 

Następnie zastosuj komendę:

 

sfc /scanfile=C:\Windows\system32\XpsRasterService.dll

 

 

.

[jeLLonek]

Próbowałem kopiować normalnie odmowa dostępu

więc kopiowałem (CFScript.txt). Przeciągnij go i upuść na ikonę ComboFixa) ale plików dalej nie widać w podanych lokalizacjach

[picasso]

Ten log z SFC (usuwam) oczywiście mi teraz niepotrzebny, bo zmian zero = brak pliku naprawczego w WinSxS (który był bazą dla moich działań).

 

 

Próbowałem kopiować normalnie odmowa dostępu

 

Zapomniałam Cię poinstruować, że tymczasowo musisz przestawić uprawnienia tym katalogom wzorując się na artykule: KLIK. Czyli dla tych dwóch folderów przełączasz Właściciela z TrustedInstaller na Administratorów, Administratorom przyznajesz Pełną kontrolę, kopiujesz pliki, przywracasz poprzednie uprawnienia.

 

 

.

[jeLLonek]

Wykonane zgodnie z zaleceniami:

sfc_x1.txt

[picasso]

Zadanie pomyślnie wykonane, SFC po podrzuceniu pliku do WinSxS przestał widzieć "file missing" + naprawił główne wystąpienie:

 

2012-07-03 00:45:17, Info    CSI    00000010 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:40{20}]"XpsRasterService.dll" from store

 

Możemy przejść do wykończeń:

 

1. Ostatni log z OTL nie wskazuje, byś wykonał zalecaną deinstalację zbędnika Akamai NetSession Interface.

 

2. Porządki po narzędziach:

• W AdwCleaner skorzystaj z Uninstall. Przez SHIFT+DEL skasuj katalog C:\Users\Marcin\DoctorWeb.
  
• Odinstaluj w prawidłowy sposób ComboFix (co czyści także foldery Przywracania systemu). Klawisz z flagą Windows + R i w polu Uruchom wklej:
  C:\Users\Marcin\Desktop\ComboFix.exe /uninstall
  
• Gdy zadanie się ukończy, w OTL uruchom Sprzątanie.
  

3. Aktualizacje do nadrobienia: KLIK. Tutaj z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216018F0}" = Java™ 6 Update 18
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome ----> wg głównego OTL wersja 19.0.1084.56

 

 

 

.

[jeLLonek]

1. Ostatni log z OTL nie wskazuje, byś wykonał zalecaną deinstalację zbędnika Akamai NetSession Interface.

 

Ten "zbędnik" został uprzednio wedle instrukcji odinstalowany i nie widzę już go w "uninstall"

 

Resztę czynności wykonałem zgodnie z instrukcjami.

 

Co zrobić żeby uniknąć takich sytuacji w przyszłości?

[picasso]

Ten "zbędnik" został uprzednio wedle instrukcji odinstalowany i nie widzę już go w "uninstall"

 

Ale ja w logach widzę usługę od tego oprogramowania. Uruchom cmd jako Administrator i wklep komendę sc delete Akamai

 

 

Co zrobić żeby uniknąć takich sytuacji w przyszłości?

 

Nie jestem w stanie udzielić odpowiedzi na pytanie jak zapobiec czemuś co ma nieznane podłoże. Nie wiadomo co robiłeś na początku przed zgłoszeniem się tu ("Poradziłem sobie z tym problemem"), bo jak widać z tematu i tak coś było zamącone (tak przy okazji: ta nieprawidłowa suma kontrolna pliku userinit.exe była równa prawidłowej sumie pliku explorer.exe, tak jakby ktoś przekopiował plik explorer.exe i zmienił mu nazwę na userinit.exe). Nie zostało tu zdefiniowane źródło modyfikacji pliku oraz jej charakter. Plik userinit.exe został zmodyfikowany, ale to niekoniecznie infekcja, mogło się dziać całkiem co innego - to że ComboFix określa jako "zainfekowany" to standardowa formułka, taki zwrot będzie nawet z modyfikacji pliku nie mającej związku z infekcją. Tym bardziej, że w skanie SFC podobny charakter usterki miał całkiem inny plik. Ogólnie mówiąc to mi nie wygląda na infekcję.

 

A te inne rzeczy typu facemoods = po prostu trzeba wykazać większą uwagę przy instalacjach oprogramowania i odznaczać doczepione paski sponsoringowe / inne śmieci.

 

 

 

.