explorer.exe zakraplacz jak usunąć

[uuoeee]

Dwa dni temu podczas uruchamiania folderu dokumentów avast wyrzucił następującą informację: Zablokowane zakraplacz - instaluje konie trojańskie. Obiekt: C:Windows/explorer.exe, zarażenie: win32:dropper.gen [drp], proces: c:windows/explorer.exe.

 

Doraźnie w wierszu poleceń wpisałam komendę 'scannow', która - tak mi się przynajmniej wydaje - zastąpiła chore explorer.exe na zdrowe, jednak infekcja została i zaraziła plik ponownie.

 

Przy skanowaniu GMER pojawia się blue screen oraz informacja, że program przestał odpowiadać.

 

Proszę o pomoc, jak uporać się z tym wirusem.

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

[muzyk75]

jednak infekcja została i zaraziła plik ponownie.

Jak to rozpoznajesz? Jakie są objawy?

 

Używałeś Combofix i TDSSKiller - załącz logi które wygenerowały.

 

Poprzez Panel sterowania-->Programy i funkcje - odinstaluj zbędne; Akamai NetSession Interface, Bonjour

 

Doczyszczenie:

 

 

 

Otwórz notatnik i wklej:

 

SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKCU - {0A44A316-321E-45E5-BE6A-729C13BAE389} URL = http://rover.ebay.com/rover/1/710-42480-16445-33/4?mpre=http://shop.ebay.co.uk/?oemInLn=ieSrch-Q311&_nkw={searchTerms}

S3 amdiox86; system32\DRIVERS\amdiox86.sys [X]

S3 catchme; \??\C:\Users\Urszula\AppData\Local\Temp\catchme.sys [X]

C:\Windows\PEV.exe

C:\Windows\MBR.exe

C:\Windows\NIRCMD.exe

C:\Windows\SWREG.exe

C:\Windows\SWSC.exe

C:\Windows\sed.exe

C:\Windows\grep.exe

C:\Windows\zip.exe

C:\Program Files\RightSurf

C:\Program Files\Mobogenie

C:\Users\Urszula\AppData\Roaming\newnext.me

C:\ProgramData\sysid100.dat

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera.

 

 

 

 

Firefox reset: kliknij pomarańczowy napis "Firefox"-->"Pomoc"-->"Informacje dla pomocy technicznej'-->"Resetuj program Firefox"

Firefox-->Dodatki-->Rozszerzenia - usuń: HDvid Codec 3

Zaktualizuj FF do najnowszej wersji - Pomoc-->O programie Firefox

 

Chrome:

Ustawienia > karta Rozszerzenia > odinstaluj HDvidCodec

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

Pobierz: TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych.

 

Załącz  powstałay Fixlog

[uuoeee]

To, że coś jest nie w porządku rozpoznaję jedynie po próbie otworzenia Biblioteki z ikonki wyciągniętej na pasek stanu. Przez pewien czas po "podmianie" pliku wszystko było w porządku. Później plik znów był blokowany przed otwarciem (te same powiadomienia).

W międzyczasie zaktualizowałam antywirusa.

 

 

Pod koniec usuwania plików TFC, avast znów zablokował explorera, zniknęło wszystko z pulpitu, zrestartowałam komputer.

Fixlog.txt

ComboFix.txt

TDSSKiller.3.0.0.25_09.03.2014_17.43.17_log.txt

[picasso]

uuoeee

 

Infekcji tu nie widzę. Były prowadzone operacje czyszczenia niepowiązanych szczątków adware i wpisów pustych, więc zrób jeszcze nowy log z FRST.

 

 

Dwa dni temu podczas uruchamiania folderu dokumentów avast wyrzucił następującą informację: Zablokowane zakraplacz - instaluje konie trojańskie. Obiekt: C:Windows/explorer.exe, zarażenie: win32:dropper.gen [drp], proces: c:windows/explorer.exe.

 

Doraźnie w wierszu poleceń wpisałam komendę 'scannow', która - tak mi się przynajmniej wydaje - zastąpiła chore explorer.exe na zdrowe, jednak infekcja została i zaraziła plik ponownie.

 

(...)

 

To, że coś jest nie w porządku rozpoznaję jedynie po próbie otworzenia Biblioteki z ikonki wyciągniętej na pasek stanu. Przez pewien czas po "podmianie" pliku wszystko było w porządku. Później plik znów był blokowany przed otwarciem (te same powiadomienia).

Owszem, ComboFix i FRST pokazywały niesygnowaną kopię explorer.exe:

 

==================== Bamital & volsnap Check =================
 

C:\Windows\explorer.exe

[2012-11-23 22:10] - [2011-05-30 20:59] - 2133504 ____A (Microsoft Corporation) 6FA4AA7B6324780B24E2501FE727CCE8
 

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2011-05-30 . 6FA4AA7B6324780B24E2501FE727CCE8 . 2133504 . . [6.1.7600.16385] . . c:\windows\explorer.exe

[7] 2011-05-30 . 8B88EBBB05A0E56B7DCC708498C02B3E . 2616320 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_5389023fd8245f84\explorer.exe

[7] 2011-05-30 . 0FB9C74046656D1579A64660AD67B746 . 2616320 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_54149f9ef14031fc\explorer.exe

[7] 2010-11-20 . 40D777B7A95E00593EB1568C68514493 . 2616320 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_53bc10fdd7fe87ca\explorer.exe

 

Tylko, że to Ty własnoręcznie tworzysz tego "zakraplacza". W logu widać tę oto paczkę:

 

2014-03-07 21:09 - 2012-11-23 22:16 - 00000000 ____D () C:\Users\Urszula\Downloads\W7SBC

2014-03-07 21:08 - 2014-03-07 21:08 - 00661018 _____ () C:\Users\Urszula\Downloads\W7SBC.rar

 

Paczka typu Windows 7 Start Button Changer zmieniająca przycisk Start - nie wiadomo skąd pobrana - a ta zmiana opiera się na modyfikacji explorer.exe. Za każdym razem, gdy użyjesz narzędzie tego rodzaju, plik explorer.exe jest patchowany i traci domyślną postać, czyli jest traktowany jako wadliwy przez SFC, niektóre antywirusy owszem również mogą podskoczyć (ale tu jest i dodatkowy aspekt = niejasne pochodzenie paczki). SFC cofa plik do domyślnego stanu (antywirus się więc uspokaja), Ty używając "button changera" znów go "psujesz". Po prostu pozbądź się tego "changera" i wykonaj w cmd komendę:

 

sfc /scanfile=C:\Windows\explorer.exe

 

 

 

muzyk75

 

Firefox reset: kliknij pomarańczowy napis "Firefox"-->"Pomoc"-->"Informacje dla pomocy technicznej'-->"Resetuj program Firefox"

Firefox-->Dodatki-->Rozszerzenia - usuń: HDvid Codec 3

Reset Firefox usuwa wszystkie rozszerzenia z profilu. W tym przypadku HDvid Codec 3 ulega autolikwidacji resetem.

 

 

 

.

[uuoeee]

Problem rozwiązany. Wszystko wróciło do normy, jednak nie wiem, czemu akurat teraz "changer" postanowił o sobie przypomnieć, skoro użyłam go bardzo dawno temu (aktualizacja bazy wirusów?).

Dzięki za pomoc. Temat do zamknięcia.

[picasso]

uuoeee, tu nie koniec, przecież prosiłam o nowy log z FRST (bez Addition i Shortcut).

 

 

Wszystko wróciło do normy, jednak nie wiem, czemu akurat teraz "changer" postanowił o sobie przypomnieć, skoro użyłam go bardzo dawno temu (aktualizacja bazy wirusów?).

Wg raportu paczka pobrana całkiem niedawno (7 marca), no chyba że dokładnie ta sama była stosowana o wiele wcześniej, a "szpara" braku detekcji to być może właśnie aktualizacja baz danych. Nadal nie wiem skąd ten changer był pobierany. Ten szczególny RAR wg wyników wyszukiwania Google jest tylko na hostingach (co w ogóle nie budzi mojego zaufania)...

 

 

 

.

[uuoeee]

Wybacz, zbyt się pospieszyłam.

Program pobrałam przy okazji jakiegoś tutoriala, jak zmienić owy przycisk startu spory czas temu, a fakt wynikający z raportu to chyba nic innego jak moja głupota. Przycisk zmienił się na domyślny po użyciu sfc/scannow i postanowiłam zmienić go jeszcze raz zapominając, że program mam gdzieś na swoim dysku i pobierając go po raz kolejny...

 

Jeśli to właśnie ten program stanowi problem, nie zamierzam go już używać.

FRST.txt

[picasso]

uuoeee, nie zauważyłam, że Ty ... uruchomiłaś ComboFix ponownie! Padła prośba o jego log, tylko że to chodziło o log z poprzedniego uruchomienia, a nie ponowne uruchomienie narzędzia (całkiem nowy inny log nie pokazujący co było wcześniej). Ponowne uruchomienie ComboFix było bezcelowe, tylko wymęczony system. I ogólnie na temat używania tego narzędzia: KLIK.

 

Jeszcze poprawki i prawidłowa deinstalacja ComboFix. Otwórz Notatnik i wklej w nim:

 

Task: {2DA47113-EFDC-42BD-B893-A80C235629F3} - System32\Tasks\Escolade => C:\Users\Urszula\AppData\Roaming\iPumper\Updater.exe
CHR HKLM\...\Chrome\Extension: [dnllcmllkjofnojidnaknldfehfhehoo] - C:\Program Files\HDvidCodec.com\HDvidCodec10.crx [2012-04-04]
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
FF Extension: No Name - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird [2012-04-04]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.idg.pl/start
SearchScopes: HKCU - {24EDD4BA-FF8E-49B5-A8A3-5293BBC7338C} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=6F283DA7-17A5-45F8-8C8E-B3330FBB5EDF&apn_sauid=C65C857A-0233-40B8-937A-289ECCAE27A3
HKU\S-1-5-21-2072632562-1884050489-2965620541-1001\...\Policies\Explorer: []
S3 catchme; \??\C:\Users\Urszula\AppData\Local\Temp\catchme.sys [X]
CMD: rd /s /q C:\Users\Urszula\Doctor Web
CMD: C:\Users\Urszula\Desktop\ComboFix.exe /uninstall

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Uwaga: uruchomi się deinstalacja ComboFix, więc cierpliwie czekaj aż się ukończy. Przedstaw wynikowy fixlog.txt.

 

 

 

.