pawlik Opublikowano 17 Czerwca 2011 Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Witam Posiadam starego laptopa i mam z nim problem, ponieważ losowo w czasie pracy wyskakuje mi komunikat, że aplikacja Iexplorer.exe wykonała nieprawidłową operację i czy przesłać dane błędu do Microsoftu. Proszę o sprawdzenie, czy nie powoduje tego jakiś wirus. Przeskanowałem laptopa wg wskazówek. Oto logi: OTL.Txt Extras.Txt gmer.txt.txt UsbFix.txt Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2011 Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Żle przepisałeś nazwę procesu (poprawiam tytuł tematu). To nie iexplorer.exe tylko iexplore.exe Error - 2010-12-14 01:21:27 | Computer Name = HPOMNIBOOK | Source = Application Error | ID = 1000Description = Aplikacja powodująca błąd IEXPLORE.EXE, wersja 6.0.2900.2180, moduł powodujący błąd unknown, wersja 0.0.0.0, adres błędu 0x00000000. Uwaga wstępna, krytyczny poziom aktualizacji systemu: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Na takim trupie z zerowym zabezpieczeniem i przy kompletnym braku antywirusa / zapory nie zajedziesz daleko. Usuwanie infekcji może być także nieskuteczne i może być nawrót.... Infekcja tu jest. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2007-11-06 01:37:26 | 000,129,368 | RHS- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINNT\system\svchost.exe -- (CreateProcess) O32 - AutoRun File - [2010-03-13 00:06:08 | 000,000,035 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2010-03-13 00:06:08 | 000,000,035 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2010-03-13 00:06:08 | 000,000,035 | RHS- | M] () - E:\autorun.inf -- [ NTFS ] :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Files explore.exe /alldrives G:\RECYCLER C:\WINNT\system\wupdmgr.exe C:\WINNT\System32\explorxp.exe C:\WINNT\System32\settings.dll :Commands [emptyflash] [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zresetowany, po restarcie otworzy się log z wynikami. 2. Wykonaj nowy skan z OTL, ale na warunku dostosowanym. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej co niżej, następnie klik w Skanuj (a nie Wykonaj skrypt). HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components /S Dołącz też log wygenerowany usuwaniem w punkcie 1. . Odnośnik do komentarza
pawlik Opublikowano 17 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Log z wykonania skryptu: 06172011_180926.txt I ten z warunkiem dostosowanym. OTL.Txt ps. Nie wiem czemu nie pojawił się nowy plik Extras a jedynie OTL. Czy coś źle zrobiłem? Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2011 Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 ps. Nie wiem czemu nie pojawił się nowy plik Extras a jedynie OTL. Czy coś źle zrobiłem? OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a ma być "Użyj filtrowania". Brak Twojej uwagi przy skanowaniu. Niemniej Extras nie jest mi tu potrzebny po raz drugi. Zadanie wykonane, infekcja w widocznej dla mnie partii pomyślnie usunięta. Skan dostosowany OTL pokazuje dodatkowy wpis rejestru infekcji, którego się spodziewałam: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]"StubPath" = C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\lusrmgr32.exe -- [2008-11-26 16:24:06 | 000,039,986 | RHS- | M] () Przy okazji usunę jeszcze z urządzenia przenośnego duplikat autorun.inf: O32 - AutoRun File - [2010-08-12 10:19:52 | 000,000,000 | RHSD | M] - G:\AUTORUN_.INF -- [ FAT ]O32 - AutoRun File - [2010-08-26 23:16:12 | 000,000,016 | -H-- | M] () - G:\AUTORUN.INF -- [ FAT ] Drugi to plik wyglądający na pochodną zabezpieczenia w Panda USB Vaccine. Pierwszy to na folder prawdopodobnie z procesu typu Vaccinate w USBFix (i tak tu nieczynny, bo Panda zmieniła mu nazwę robiąc miejsce na własny plik). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}] :Files RECYCLER /alldrives RD /S /Q \\?\G:\AUTORUN_.INF /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Posprzątaj po używanych narzędziach: Odinstaluj USBFix. W OTL uruchom Sprzątanie, co usunie kwarantannę z infekcją oraz program OTL z dysku. Funkcja wymaga restartu. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Przeskanuj system przez Kaspersky Virus Removal Tool i przedstaw wyniki. Po ocenie raportu końcowego przejdziemy do niezbędnych aktualizacji. . Odnośnik do komentarza
pawlik Opublikowano 17 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Oto plik z wykonania skryptu: 06172011_192731.txt A tu z kasperskiego: kaspersky.txt Podczas skanowania kasperskim pominalem usuwanie jednego pliku a mianowicie winlogon.dl ponieważ nie dało się wyleczyć. Natomiast został usunięty sfc_os.dll i teraz podczas uruchomienia systemu mam komunikat: winlogon.exe - nie można znaleźć składnika Uruchomienie tej aplikacji nie powiodło się, ponieważ nie znaleziono sfc_os.dll. Ponowne zainstalowanie aplikacji może naprawić ten problem. Odnośnik do komentarza
picasso Opublikowano 18 Czerwca 2011 Zgłoś Udostępnij Opublikowano 18 Czerwca 2011 Podczas skanowania kasperskim pominalem usuwanie jednego pliku a mianowicie winlogon.dl ponieważ nie dało się wyleczyć. To plik trojana i jest do usunięcia. Cały folder w którym on siedzi jest podrobiony: C:\WINNT\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}, symuluje Panel sterowania. Natomiast został usunięty sfc_os.dll i teraz podczas uruchomienia systemu mam komunikat: winlogon.exe - nie można znaleźć składnika Czy możesz wejść do Windows? Sprecyzuj to, bo nie wiem teraz którą instrukcję podpasować. Plik należy wstawić w czystej wersji i plik taki ode mnie otrzymasz. . Odnośnik do komentarza
pawlik Opublikowano 18 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2011 W takim razie jeszcze raz odpale Kasperskiego i usune ten plik. Normalnie do Windowsa moge wejsc. Ten komunika jest bardziej informacyjny. Wciskam OK i windows normalnie się ładuje. Odnośnik do komentarza
picasso Opublikowano 18 Czerwca 2011 Zgłoś Udostępnij Opublikowano 18 Czerwca 2011 1. Przesyłam plik w wersji XP SP2 do wstawienia: KLIK. Wypakuj go na C:\. 2. Pobierz OTL od nowa z przyklejonego. Uruchom i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\WINNT\system32\dllcache\sfc_os.dll|C:\sfc_os.dll /replace C:\WINNT\system32\sfc_os.dll|C:\sfc_os.dll /replace C:\WINNT\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D} Klik w Wykonaj skrypt. 3. Przedstaw log z wymiany uzyskany w punkcie 2. . Odnośnik do komentarza
pawlik Opublikowano 18 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2011 Zapuściłem jeszcze raz Kasperskiego. Plik trojana usunięty. Oto log po odpaleniu tego skryptu z OTL: 06182011_135424.txt System ładuje się teraz bez błędu o braku pliku. Odnośnik do komentarza
picasso Opublikowano 18 Czerwca 2011 Zgłoś Udostępnij Opublikowano 18 Czerwca 2011 (edytowane) OK, zadanie wykonane. Pliki się ładnie wstawiły, a cały folder w którym był plik trojana, też został przeze mnie usunięty. Galopujemy do finału: Porządki po dezynfekcji: 1. Posprzątaj po używanych narzędziach: po raz drugi Sprzątanie w OTL, odinstaluj też Kaspersky Removal Tool. 2. Ponowne czyszczenie folderów Przywracania systemu. Zabezpieczenia 1. Obowiązkowo system musi zostać zaktualizowany: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Do instalacji: Service Pack 3 + Internet Explorer 8. Przeglądarka IE również, mimo że posługujesz się Firefoxem. Na silniku IE chodzą różne funkcje systemu oraz po cichu może z tego korzystać aplikacja trzecia. Po zamontowaniu tego układu bazowego udaj się na Windows Update i załaduje wszystkie krytyczne aktualizacje. SP3 pochodzi z roku 2008, kupa rzeczy się od tego czasu wydarzyła. 2. Drobniejsze aktualizacje oprogramowania do wykonania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1033-7B44-A81200000003}" = Adobe Reader 8.1.2"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) Szczegóły aktualizacyjne: INSTRUKCJE. 3. Programy zabezpieczające: nie masz żadnego. Rozumiem, że to wyraz "obawy" by nie zamulić starego blaszaka. Proponuję taką darmową kombinację: Panda Cloud Antivirus + PrivateFirewall. Podsumuj czy wszystko w porządku. . Edytowane 19 Października 2011 przez picasso 25.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi