Program eksplorator windows przestał działać

[frejavanana]

Szanowny adminie ! nie znam się na komputerach, ale prosze o nieusuwanie tego wątku ! jezeli zamieściłam go w złym miejscu to serdecznie przepraszam.

 

 

Wiem, że podobnych problemów było mnóstwo ale podane możliwości rozwiązań tego problemu nie działaja na moim laptopie Dell Inspiron 15QR.

 

Po włączeniu systemu wyskakuje komunikat Program Eksplorator Windows przestał działać, a zaraz potem Trwa ponowne uruchamianie Eksploratora Windows.

Potem pasek na chwilę wygląda jak z Win 98 ale po 10 sekundach wraca do kompozycji Aero. Następnie już wszystko jest ok pracuje na komputerze normalnie ale to mnie bardzo męczy i denerwuje bo już 2 razy musiałam przywracać system w odstępie kilku dni ponieważ po zalogowaniu miałam tylko czarny pulpit z ikonką kosza a zarówno pasek zadań jak i okna były żywcem wyjęte z Win98.

 

System Windows 7 64 bitowy.

 

Załączam EventData

 

Explorer.EXE

6.1.7601.17567

4d672ee4

n

0.0.0.0

4f94924c

c0000094

000000000000573c

9d0

01cd52234c61d918

C:\windows\Explorer.EXE

c:\windows\system32\n

b1de31b9-be16-11e1-91d9-ac7289cb5371

 

i może jeszcze coś takiego

 

Ścieżka aplikacji powodującej błąd C:/windows/Explorer.Exe

Ścieżka modułu powodujacego błąd C:/windows/system32/n

 

Błagam pomóżcie zagubionej i bezradnej w świecie inteligentnych komputerów kobiecie !

 

Czasami taki komunikat wyskakuje mi średnio co 30 sekund ale to zależy , niestety nie wiem pd czego. Czasem taki błąd nie wyskakuje gdy uruchomie laptopa ale gdy uruchomie go za parę godzin błąd znów się pojawia.

Extras.Txt

OTL.Txt

[Landuss]

Ścieżka aplikacji powodującej błąd C:/windows/Explorer.Exe

Ścieżka modułu powodujacego błąd C:/windows/system32/n

 

I to mówi wszystko - rootkit ZeroAccess w najnowszym wydaniu. Zanim przejdziemy do usuwania wykonasz raport dodatkowy pod kątem tej infekcji.

 

Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

[frejavanana]

SystemLook 30.07.11 by jpshortstuff

Log created at 22:45 on 30/06/2012 by Ola

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Ola\AppData\Local\{e73cd782-5115-7225-bd88-43c6f4435f1c}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{e73cd782-5115-7225-bd88-43c6f4435f1c}\n."

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\WINDOWS\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

 

 

dzięki, że się zainteresowałeś !

[Landuss]

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej kolejno te polecenia:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%systemroot^%\system32\wbem\wbemess.dll /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-3761179595-1950666774-3081642797-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms}
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O4 - HKLM..\Run: []  File not found
 
:Files
C:\windows\Installer\{e73cd782-5115-7225-bd88-43c6f4435f1c}
C:\Users\Ola\AppData\Local\{e73cd782-5115-7225-bd88-43c6f4435f1c}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę netsh winsock reset. Zresetuj system.

 

4. Pokazujesz nowy log z OTL z opcji Skanuj (bez ekstras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[frejavanana]

wszystko zrobiłam.

 

przedstawiam raporty.

OTL.Txt

SystemLook.txt

FSS.txt

[Landuss]

Wszystko poprawnie wykonane i infekcja zdjęta. Teraz przejdziesz do napraw skasowanych usług.

 

1. Odbuduj skasowane usługi omijając polecenie sfc /scannow:

• Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

2. Prezentujesz nowy log z FSS

[frejavanana]

ok, trochę się pogubiłam.

 

"Pierwszy etap polega na odtworzeniu wpisów rejestru usług. Wyłącz opcję ukrywającą rozszerzenia, odznaczając opcję Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukrywaj rozszerzenia dla znanych typów plików" mam zacząć od tego momentu tak ? tylko gdzie mam odznaczyc tą opcję ?

[Landuss]

Masz zacząć wcześniej od "Rekonstrukcja kluczy usług" i dalej do samego dołu. A więc najpierw importy do rejestru, potem naprawa przez SetACL tak jak opisane.

 

tylko gdzie mam odznaczyc tą opcję ?

 

No masz przecież napisane - Windows Explorer (czyli Mój komputer) > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukrywaj rozszerzenia dla znanych typów plików

[frejavanana]

ok. dzięki. zabieram się do roboty.

 

jeszcze jedno pytanie -

"2. Przygotuj pasujący plik importujący uprawnienia i zastosuj go z linii komend:

 

Podstawowy aparat filtrowania (BFE)

 

W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik dla wygody umieść bezpośrednio na C:\."

czy ja mam stworzyć w notatniku NOWY plik pod nazwą fix.txt czy do BFE.txt wkleić tą zawartość ?

 

może to głupie pytanie ale chciałabym zrobić wszystko dobrze i nie spieprzyć nic w komputerze.

 

nie wiem czy o to chodziło ale utworzyłam nowy dokument no i jest problem bo wyskakuje w cmd coś innego. początek jest taki sam a potem SetACL finished with error(s):

SetACL error message : The backup/ restore file could not be opened.

 

czyli coś źle zrobiłam ?

[Landuss]

jeszcze jedno pytanie -

"2. Przygotuj pasujący plik importujący uprawnienia i zastosuj go z linii komend:

 

Podstawowy aparat filtrowania (BFE)

 

W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik dla wygody umieść bezpośrednio na C:\."

czy ja mam stworzyć w notatniku NOWY plik pod nazwą fix.txt czy do BFE.txt wkleić tą zawartość ?

 

Masz tam przecież już gotowe pliki .txt do pobrania. Zmieniasz tylko rozszerzenie z .txt na .reg i importujesz z prawokliku opcją Scal.

 

nie wiem czy o to chodziło ale utworzyłam nowy dokument no i jest problem bo wyskakuje w cmd coś innego. początek jest taki sam a potem SetACL finished with error(s):

SetACL error message : The backup/ restore file could not be opened.

 

czyli coś źle zrobiłam ?

 

Błąd zignoruj, mimo tego powinno się wszystko wykonać.

[frejavanana]

ok, tak jak mówiłam nie jestem zbyt polotna jeśli chodzi o komputery ale starałam się wszystko zrobić tak jak trzeba i mam nadzieję, że jest juz ok.

 

w panelu sterowania zapora niestety nie działa.

FSS.txt

[Landuss]

w panelu sterowania zapora niestety nie działa.

 

To sugeruje, ze jednak nie wszystko zostało poprawnie wykonane.

 

Wciśnij klawisz z flagą Windows + R wpisz services.msc dwukliknij na usługę Podstawowy aparat filtrowania i podaj jaki błąd zwraca próba jej uruchomienia.

[frejavanana]

Błąd 5; Odmowa dostępu

[Landuss]

Więc kwestia uprawnień i nie wykonałaś tego poprawnie. Wejdź jeszcze raz w temat: KLIK. Przeprowadź operacje z SetACL i nakładaniem uprawnień na BFE + MpsSvc + SharedAccess

[frejavanana]

o ja idiotka ! faktycznie głupi błąd popełniłam ale teraz już komunikaty w cmd pokazały mi się takie jakie powinny być.

FSS.txt

[Landuss]

Teraz jest jak należy i można przejść do kończenia całej sprawy.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Odinstaluj zbędny pasek Winamp Toolbar

 

4. Obowiązkowo zaktualizuj obydwie Javy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27

 

Szczegóły aktualizacyjne: KLIK

 

5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[frejavanana]

Ok. Wszystko zrobiłam.

Czy to znaczy, że mój laptop jest już "czysty", czy nadal mam na nim jakieś zbędne śmieci ?

[Landuss]

Jest czysto i nie musisz się o nic obawiać. Temat jako rozwiązany zamykam. Jeśli jeszcze są jakieś pytania = PW