Skocz do zawartości
bialykaszalot

Wpis explorer.exe w FRST i OTL

Rekomendowane odpowiedzi

Cześć, mam pytanie odnośnie wpisów w rejestrze. Zobaczyłem w OTL'u taki wpis

 

O20 - HKLM Winlogon: Shell - (explorer.exe) -  File not found

a w FRST już tego znaleźć nie mogę. Gdzie te wpisy w FRST są ukryte?

 

FRST: http://wklej.to/JW9H1

OTL:   http://wklej.to/fGaxN

Addition: http://wklej.to/kKI7l

Extras: http://wklej.to/jdzEU

 

Nie chodzi mi o napisanie skryptu tylko o wskazanie gdzie znajdę ten wpis w FRST.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W FRST nie widzę tego.

 

 

A swoją drogą to dziwne:

O20 - HKLM Winlogon: Shell - (explorer.exe) - File not found

PRC - [2009-04-11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe

Widać, że plik jest.

Czyżby zmienna środowiskowa była "uszkodzona"?

To tylko takie moje rozmyślania - nie chcę prowadzić tego tematu, więc nie zagłębiam się w to.

Windows Vista

  • Kliknąć prawym przyciskiem myszy na ikonie „Mój komputer”.
  • Z menu podręcznego wybrać pozycję „Właściwości”.
  • Kliknąć na karcie "Zaawansowane" (lub na łączu „Zaawansowane ustawienia systemu” w przypadku systemu Windows Vista).
  • W oknie "Edytowanie" wartość zmiennej PATH: początek tej zmiennej powinien być taki: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem
jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

bialykaszalot

 

Temat nie jest związany z infekcją, przesuwam do stosowniejszego działu. Tu trzeba ruszyć głową, bo wszystkie dane masz w raportach. Odznacz proszę Whitelist w FRST to i wpis znajdziesz. Wpis Shell nie jest widoczny w Twoim logu FRST, bo jest poprawny (nie jest zmodyfikowany i nie brakuje pliku), więc przy zaznaczonym ustawieniu Whitelist jest chowany. Dodatkowo, plik definitywnie jest na dysku i ma podpis cyfrowy (to coś więcej niż sprawdzanie czy producentem jest "Microsoft" zawarte w OTL):

 

==================== Bamital & volsnap Check =================

 

C:\Windows\explorer.exe => File is digitally signed

 

Gdyby brakowało pliku, nawet nie wszedłbyś na Pulpit. :P OTL notuje "brak pliku", bo stosuje inny system szukania i przy uszkodzonych Zmiennych są fałszywe zgłoszenia braków plików. To nie jedyny fałszywy "brak":

 

O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll File not found

O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll File not found

O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll File not found

O20 - HKLM Winlogon: Shell - (explorer.exe) - File not found

O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") - File not found

O29 - HKLM SecurityProviders - (credssp.dll) - File not found

 

Instrukcję korekty Zmiennych już otrzymałeś.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...