Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Explorer nie uruchamia się przy starcie

Smith81 15 Lis 2017 19:15 510 4
  • #1 15 Lis 2017 19:15
    Smith81
    Poziom 5  

    Witam,
    Prawdopodobnie po usunięcie zagrożeń przez program malwarbytes, przy starcie systemu nie uruchamia się proces explorer.exe natomiast uruchamia się konsola cmd.

    Wstawiam logi OTL:
    OTL.txt

    oraz FRST:
    FRST.txt
    Addition.txt

    Podjęte kroki do tej pory:
    1. Próba automatycznej naprawy przy uruchamianiu systemu
    2. Chkdsk /r
    3. Skanowanie AV bitdefender (brak zagrożen)
    4. Skanowanie Malwarbytes (brak zagrożen)
    5. Skanowanie Adwclener (brak zagrożen)
    6. Próba naprawy rejestru programem Registry Life
    7. Próba naprawy rejestru programem CClener

    Dodatkowo dodaje raport ze skanowania programem malwarbytes (prawdopodobnie po tej akcji pojawił się problem z explorerem)
    Malwarbytes - raport

    0 4
  • Pomocny post
    #2 15 Lis 2017 19:24
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    CustomCLSID: HKU\S-1-5-21-1029152449-2021563053-3973295883-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-FD8E73FEA996}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    HKU\S-1-5-21-1029152449-2021563053-3973295883-1001\...\Run: [GalaxyClient] => [X]
    HKU\S-1-5-21-1029152449-2021563053-3973295883-1001\...\MountPoints2: {fc84a0bb-9eaa-11e7-ab41-806e6f6e6963} - "F:\setup.exe"
    HKU\S-1-5-21-1029152449-2021563053-3973295883-1001\...\Winlogon: [Shell] C:\Windows\System32\cmd.exe [271872 2017-03-18] (Microsoft Corporation) <==== UWAGA
    HKU\S-1-5-18\...\Run: [] => [X]
    FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\enk7arom.default\user.js [2017-07-12]
    CHR HKLM-x32\...\Chrome\Extension: [gannpgaobkkhmpomoijebaigcapoeebl] - hxxps://clients2.google.com/service/update2/crx
    S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
    2017-11-15 18:42 - 2017-11-15 18:43 - 000000000 ____D C:\AdwCleaner
    2017-11-15 17:53 - 2017-11-15 18:41 - 000354032 _____ C:\Users\Admin\Downloads\OTL.Txt
    2017-11-15 17:53 - 2017-11-15 17:53 - 000107630 _____ C:\Users\Admin\Downloads\Extras.Txt
    2017-11-15 17:46 - 2017-11-15 17:46 - 000000000 ____D C:\rsit
    2017-11-15 17:46 - 2017-11-15 17:46 - 000000000 ____D C:\Program Files (x86)\trend micro
    2017-11-15 17:45 - 2017-11-15 17:46 - 000602112 _____ (OldTimer Tools) C:\Users\Admin\Downloads\OTL.exe
    2017-11-15 17:45 - 2017-11-15 17:45 - 001107968 _____ C:\Users\Admin\Downloads\RSIT.exe
    C:\Users\Admin\AppData\Local\Tempzxpsig*

    Po wykonaniu usun katalog C:\FRST.

    Nie widac zeby mbam cos robil z wpisem shell.

    Ps. Czy to ten sam komputer: https://www.elektroda.pl/rtvforum/topic3398097.html czy tylko dziwny przypadek?

    0
  • #3 15 Lis 2017 19:46
    Smith81
    Poziom 5  

    Zrobiłem jak napisałeś, póki co wróciło wszystko do normy, swoją drogą nie spodziewałem się tak szybkiej reakcji - za co wielkie dzięki.
    Ten temat jest moim pierwszym w tym dziale, więc to tylko zbieg okoliczności.

    Czyli podobnie jak w temacie, który podesłałeś cmd było ustawione jako shell ?

    P.S. Skanowanie przeciw szkodliwemu oprogramowaniu robiłem ze względu na pojawiąjący się taki błąd (wyskoczył zdaje się przy uruchomieniu komputera, a później za każdym razem uniemożliwiał otwarcie cmd - zamiast konsoli wyskakiwał taki komunikat )

    Explorer nie uruchamia się przy starcie

    0
  • #4 15 Lis 2017 20:00
    Kolobos
    Spec od komputerów

    Tak, cmd bylo ustawione jako shell:
    HKU\S-1-5-21-1029152449-2021563053-3973295883-1001\...\Winlogon: [Shell] C:\Windows\System32\cmd.exe [271872 2017-03-18] (Microsoft Corporation) <==== UWAGA

    Plik wymieniony w komunikacie to czesc infekcji, ale w logach juz nie ma po niej sladu.

    0
  • #5 15 Lis 2017 20:37
    Smith81
    Poziom 5  

    Rozumiem, jeszcze raz dziękuje za pomoc.

    Zamykam

    0