Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 7 x64 - Program Explorator Windows przestał działać - analiza z OTL

24 Lis 2014 20:09 2001 5
  • Poziom 26  
    Witam!
    Dostałem do posprzątania laptop laptop Asus X53T. System Windows 7 64bit - oryginalny, z dwuletnimi "smieciami". Postanowiłem, że wszystko zrobię bez instalacji systemu na nowo. Pousuwałem wszystkie śmieciowe prgramy typu "Przyspiesz komputer" i masę innych, oczyszcziłem rejestr, autostart etc. Wszystko zaczęło działać do momentu jak zacząłem instalować sterowniki na nowo. Karta graficzna została wykryta jako Raden 7600M (w laptopie jest 7670M) - mimo instalacji ze strony AMD, po włączeniu komputera ciągle pojawiał się komunikat o otwarciu aplikacji do touchpada... Usunąłem wszystkie sterowniki - zostawiłem tylko aktualizacje, użyłem CCleaner, zrobiłem Combofix ale nadal jest coś źle...

    Do sedna:
    Po uruchomieniu laptopa naciskam ppm->mój komputer->właściwości
    (...) i tutaj się wysypuje:
    Windows 7 x64 - Program Explorator Windows przestał działać - analiza z OTL

    Proszę o pomoc.
    Próbowałem czyścić rejestr, użyłem nawet przywracania systemu (z trybu awaryjnego bo w normalnym wywala ten błąd).
    Najprościej byłoby zrobić format ale jestem 800km od domu, nie mam żadnego nośnika ani instalki.

    Załączam logi z OTL, czytałem i wiem, że potraficie je zanalizować...
  • Spec od komputerów
    Masz zainfekowany system.

    Wymagane sa lgi z FRST.
  • Spec od komputerów
    Uzyj: http://www.bleepingcomputer.com/download/adwcleaner/ opcja Szukaj i Usun.

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    () C:\ProgramData\ee0cbabf-c693-4d95-bade-4351a657e7c1\maintainer.exe
    Task: {A7A331D3-045A-4982-90D2-B09834B228FF} - System32\Tasks\DSite => C:\Users\Jeremi\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-1085126386-3619051380-3694756134-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.helperbar.com/?p=mKO_AwFzXIpYRbkH...rBKx_oIU09Xuc2E7vpgwuVsZ3sFj8CNnHey_GWom6OyZ_
    HKU\S-1-5-21-1085126386-3619051380-3694756134-1001\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119370&...s&mntrId=6459e9a6000000000000666d57afebd6
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-1085126386-3619051380-3694756134-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    SearchScopes: HKLM-x32 -> DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=YahooST&...60-3a44-8a62f674044d&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=25/11/2013&type=hp5000
    SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=YahooST&...60-3a44-8a62f674044d&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=25/11/2013&type=hp5000
    SearchScopes: HKU\S-1-5-21-1085126386-3619051380-3694756134-1001 -> DefaultScope {FD294A09-77A3-4A88-8338-671F897FFAA3} URL = https://search.yahoo.com/search?fr=mcafee&type=B011US885D20140802&p={SearchTerms}
    SearchScopes: HKU\S-1-5-21-1085126386-3619051380-3694756134-1001 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    SearchScopes: HKU\S-1-5-21-1085126386-3619051380-3694756134-1001 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?p=mKO_AwFzXIpYRbkH...oFY63WvOoyKHDGR3B6oBsyP3sFOjdCCTu2Ig0m&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1085126386-3619051380-3694756134-1001 -> {FD294A09-77A3-4A88-8338-671F897FFAA3} URL = https://search.yahoo.com/search?fr=mcafee&type=B011US885D20140802&p={SearchTerms}
    BHO: No Name -> {7DB2D5A0-7241-4E79-B68D-6309F01C5231} -> No File
    Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File
    Toolbar: HKLM-x32 - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
    Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File
    FF DefaultSearchEngine: Bezpieczne wyszukiwanie
    FF SearchEngineOrder.3: Bing
    FF SelectedSearchEngine: Bezpieczne wyszukiwanie
    FF SearchPlugin: C:\Users\Jeremi\AppData\Roaming\Mozilla\Firefox\Profiles\hroeletf.default\searchplugins\Web Search.xml
    FF Extension: MetaCrawler New Tab - C:\Users\Jeremi\AppData\Roaming\Mozilla\Firefox\Profiles\hroeletf.default\Extensions\{60364604-8b4c-42f4-a2ca-a76ca7b61b37}.xpi [2014-03-24]
    FF Extension: BonanzaDeals - C:\Users\Jeremi\AppData\Roaming\Mozilla\Firefox\Profiles\hroeletf.default\Extensions\{f9d03c26-0575-497e-821d-f7956d23e0ca}.xpi [2013-12-19]
    FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
    R2 MaintainerSvc4.28.0012524; C:\ProgramData\ee0cbabf-c693-4d95-bade-4351a657e7c1\maintainer.exe [123672 2014-11-24] ()
    R1 {4a1ea04b-0e0d-426d-8775-2d82a1b8bb52}Gw64; C:\Windows\System32\drivers\{4a1ea04b-0e0d-426d-8775-2d82a1b8bb52}Gw64.sys [61112 2014-04-24] (StdLib)
    R1 {4a1ea04b-0e0d-426d-8775-2d82a1b8bb52}w64; C:\Windows\System32\drivers\{4a1ea04b-0e0d-426d-8775-2d82a1b8bb52}w64.sys [61112 2014-07-03] (StdLib)
    S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X]
    S3 athr; system32\DRIVERS\athrx.sys [X]
    S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X]
    S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X]
    S3 btath_avdt; system32\drivers\btath_avdt.sys [X]
    S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X]
    S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X]
    S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X]
    S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X]
    S3 BtFilter; system32\DRIVERS\btfilter.sys [X]
    S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
    S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
    2014-11-24 19:34 - 2014-11-24 19:42 - 00000000 ____D () C:\ComboFix
    2014-11-24 02:13 - 2014-11-24 02:22 - 00000000 ____D () C:\Qoobox
    2014-11-24 02:13 - 2011-06-26 07:45 - 00256000 _____ () C:\Windows\PEV.exe
    2014-11-24 02:13 - 2010-11-07 18:20 - 00208896 _____ () C:\Windows\MBR.exe
    2014-11-24 02:13 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2014-11-24 02:13 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2014-11-24 02:13 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2014-11-24 02:13 - 2000-08-31 01:00 - 00098816 _____ () C:\Windows\sed.exe
    2014-11-24 02:13 - 2000-08-31 01:00 - 00080412 _____ () C:\Windows\grep.exe
    2014-11-24 02:13 - 2000-08-31 01:00 - 00068096 _____ () C:\Windows\zip.exe
    2014-11-24 02:12 - 2014-11-24 02:21 - 00000000 ____D () C:\Windows\erdnt
    2014-11-24 02:12 - 2014-11-24 02:12 - 05598306 ____R (Swearware) C:\Users\Jeremi\Downloads\ComboFix.exe
    2014-11-23 23:41 - 2014-11-23 23:41 - 00000020 _____ () C:\Windows\$úÏ
    2014-11-23 21:05 - 2014-11-23 21:05 - 00000000 ____D () C:\Users\wangjihua\AppData\Local\Mobogenie
    2014-11-17 20:36 - 2014-11-24 17:13 - 00000000 ____D () C:\ProgramData\ee0cbabf-c693-4d95-bade-4351a657e7c1
    2014-11-24 00:14 - 2013-11-06 21:08 - 00000000 ____D () C:\Program Files (x86)\BonanzaDealsLive
    2014-11-23 23:35 - 2013-11-25 17:45 - 00000000 ____D () C:\Users\Jeremi\AppData\Local\Mobogenie
    2014-11-23 23:35 - 2013-11-25 17:44 - 00000000 ____D () C:\Users\Jeremi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
    2014-11-23 23:20 - 2013-11-06 21:08 - 00000000 ____D () C:\Program Files (x86)\BonanzaDeals
    EmptyTemp:

    W FRST wybierz Fix.
  • Poziom 26  
    Ok, zabieram się do roboty.
    Właśnie zainstalowałem antywirusa, czy będzie on w czymś przeszkadzał (Eset Smart Security 4)?

    Dodano po 16 [minuty]:

    Fix zrobiony. Komputer zresetowany.
    Niestety nadal wywala błąd... Po restarcie zniknęła karta sieciowa - brak internetu.
    Czyżby wirus zaczynał rozrabiać?
  • Poziom 26  
    Eset znalazł prawie 60 infekcji, wszystko usunąłem. Przeskanowałem jeszcze i usunąłem to co znalazł Advaced Cleaner...
    Komputer chodzi jak burza ale ciągle jest to samo - błąd pojawia się tylko przy wchodzeniu w komputer(ppm)->właściwości.

    EDIT: Ściągnąłem dzisiaj czystą instalację systemu, już wszystko działa. Tak chyba było prościej. Lista procesów działających w tle też była ok, same systemowe. Podejrzewam, że jeśli były tam wirusy to zrobiły swoje.
    Temat do zamknięcia.