Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Exproler.exe nie uruchamia się przy starcie, zamiast tego konsola

milking11 09 Lip 2018 21:28 96 1
  • #1 09 Lip 2018 21:28
    milking11
    Poziom 2  

    Cześć

    Mam problem explorer nie uruchamia się przy starcie, zamiast tego czarny ekran i konsola windows32.
    Dodam ,że explorer po uruchomieniu procesu z menadżera zadań rusza normalnie.
    W załączniku wrzucam pliki z FRST.

    System to Windows 7

    Liczę na szybką pomoc i ratunek bo wolałbym uniknąć stawiania systemu od nowa.

    Z góry dziękuje i pozdrawiam

    EDIT
    Dobra udało mi się rozwiązać problem:

    Tworzymy plik FIX.REG o treści:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"=-
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"=-

    PPM+wzbieramy SCAL i reset- i u mnie pomogło


    Temat do zamknięcia nie usuwam bo może się przyda dla potomnych

    Scaliłem. RADU23

    0 1
  • #2 09 Lip 2018 21:51
    Kolobos
    Spec od komputerów

    Ta infekcja nie modyfikuje userinit, wiec jego zmiana jest zbedna, a co do shell to jak juz go usuwasz to warto dodac go ponownie z poprawnym wpisem. Do tego trzeba jeszcze usunac:
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA

    Wykonaj Fixlist.txt dla FRST:
    Task: {A89D2258-A5A7-43FD-A60A-10FF72192FBB} - System32\Tasks\{C45D0B5B-D9CC-471B-BCDD-9B28EB1C35DF} => C:\Windows\system32\pcalua.exe -a I:\install.exe -d I:\
    Task: {D13229F9-6541-4EB2-9C45-C724D3C42F6E} - System32\Tasks\{1C79B44B-07E0-4364-93C3-FD403B56FA68} => C:\Windows\system32\pcalua.exe -a C:\Users\Miłosz\Downloads\winsdk_web.exe -d C:\Users\Miłosz\Downloads
    Task: {D96A57F6-82FB-452D-BD34-0541A6D1EFFA} - System32\Tasks\{D1FC0CA1-5BBF-4F18-9D87-96A6E397654C} => C:\Windows\system32\pcalua.exe -a C:\Users\Miłosz\Downloads\Gothic2_PlayerKit-2.6f.exe -d C:\Users\Miłosz\Downloads
    Task: {DF0D2A57-9732-41D0-8C43-8057826A57E7} - System32\Tasks\{165ABA93-25F3-47D4-9778-EDAD0CA92D2A} => C:\Windows\system32\pcalua.exe -a L:\setup.exe -d L:\
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\MountPoints2: G - G:\setup.exe
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\MountPoints2: I - I:\Autorun.exe
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\MountPoints2: J - J:\SETUP.EXE
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\MountPoints2: {17ca022f-dc19-11e5-85a0-408d5c1cd095} - J:\SETUP.EXE
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\MountPoints2: {4a7f345c-026d-11e6-8f0f-408d5c1cd095} - L:\setup.exe
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\MountPoints2: {4f686f14-dc87-11e5-9dae-408d5c1cd095} - I:\setup.exe
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\MountPoints2: {febad5b9-ab50-11e7-8b71-408d5c1cd095} - K:\Lenovo_Suite.exe
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\Winlogon: [Shell] C:\Windows\System32\cmd.exe [345088 2010-11-21] (Microsoft Corporation) <==== UWAGA
    HKU\S-1-5-21-3516125424-1303096396-435529735-1000\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
    BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
    FF user.js: detected! => C:\Users\Miłosz\AppData\Roaming\Mozilla\Firefox\Profiles\i8opcg4s.default\user.js [2017-03-22]
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    S3 gdrv; \??\C:\Windows\gdrv.sys [X]
    2018-07-09 20:42 - 2016-02-15 02:20 - 000000000 ____D C:\AdwCleaner

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0