Błędy explorer.exe, śmieci po vShare

[Mysza]

Witam,

 

mam prośbę o sprawdzenie logów,

 

mój niepokój budzą trzy rzeczy :

- kontakt z innym zainfekowanym komputerem w ciągu ostatniego miesiąca

- w ciągu ostatnich dni kilka razy pojawił się problem z explorer.exe i została ona zamknięta , co skutkowało zniknięciem wszystkich ikon z pulpitu i restartem

(np. w moim przypadku zdarzyło się to przy okazji zmiany domyślnej przeglądarki z Google Chrome na Internet Explorer )

- w związku z walką Tomasza Adamka jeden z domowników (wiadomo który ) po raz kolejny ściągnął vShare - odinstalowywałam to potem, ale nie wiem czy nie ma jeszcze jakichś pozostałości

 

OTL

http://wklej.org/id/592903/

 

Extras

http://wklej.org/id/592904/

 

Gmer wstępny

http://wklej.org/id/592905/

 

Gmer pełny

http://wklej.org/id/592906/

 

Przed zrobieniem Gmera odinstalowywałam Daemon Tools Lite - przyznaje się, że zapomniałam użyć SPTD-inst.

[picasso]

- kontakt z innym zainfekowanym komputerem w ciągu ostatniego miesiąca

 

W raportach nie widzę śladów infekcji czynnej. Ale:

 

 

- w związku z walką Tomasza Adamka jeden z domowników (wiadomo który ) po raz kolejny ściągnął vShare - odinstalowywałam to potem, ale nie wiem czy nie ma jeszcze jakichś pozostałości

 

Szczątki delikwenta obecne (m.in. strona startowa IE jest ustawiona na podejrzaną stronę startsear.ch, plik tejże wyszukiwarki jest i w Lisku). Dla pozyskania pełniejszego obrazu wygeneruj log z AD-Remover z opcji Scan. Narzędzie ma wbudowaną detekcję vShare (uwzględniając miejsca niewidoczne w OTL). Na podstawie danych z obu programów zrobię skrypt usuwający.

 

 

- w ciągu ostatnich dni kilka razy pojawił się problem z explorer.exe i została ona zamknięta , co skutkowało zniknięciem wszystkich ikon z pulpitu i restartem

(np. w moim przypadku zdarzyło się to przy okazji zmiany domyślnej przeglądarki z Google Chrome na Internet Explorer )

 

Widzę w Dzienniku zdarzeń ten błąd:

 

Error - 2011-09-11 03:43:21 | Computer Name = XXX | Source = Application Error | ID = 1000
Description = Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł
 powodujący błąd ntdll.dll, wersja 5.1.2600.6055, adres błędu 0x000101b3.

Jako moduł przyczynowy stoi biblioteka ntdll.dll, co nie mówi zbyt wiele. Można jedynie przypuszczać, że problem stanowią np.: rozszerzenia powłoki czy kodeki (conajmniej jeden błąd ad kodeków także jest w Twoim Dzienniku). Przypominam sobie nawet taki stary temat, gdzie błąd o podobnej formule był generowany przez jedno z rozszerzeń kontekstowych. Po omacku można wypróbować ogólnych procedur redukcyjnych:

 

• Kodeki: W spisie widać u Ciebie K-Lite Codec Pack 5.9.0 (Full), czyli starszy pakiet w wersji o większym zagrożeniu apropos konfliktów (Full). Odinstaluj tę paczkę. Jeśli kodeki K-Lite są niezbędne: pobierz najnowszą, ale w wersji minimalnej Basic.
  
• Deaktywacja rozszerzeń wtórnych: w programie ShellExView posegreguj poprzez klik w kolumnę producenta rozszerzenia różowe w jednym bloku i zbiorczo je wyłącz zatwierdzając restartem systemu.
  

 

 

.

[Mysza]

W raportach nie widzę śladów infekcji czynnej.

Dziękuję @Picasso - mogę spać spokojnie .

 

Log z AD-Remover

http://wklej.org/id/593304/

 

• Kodeki: W spisie widać u Ciebie K-Lite Codec Pack 5.9.0 (Full), czyli starszy pakiet w wersji o większym zagrożeniu apropos konfliktów (Full). Odinstaluj tę paczkę.(...).
  
• Deaktywacja rozszerzeń wtórnych: w programie ShellExView posegreguj poprzez klik w kolumnę producenta rozszerzenia różowe w jednym bloku i zbiorczo je wyłącz zatwierdzając restartem systemu.
  

ZROBIONE

[picasso]

1. Zamknij Firefox i upewnij się, że jego proces jest odładowany. Uruchom AD-Remover w trybie Clean, co wyczyści wszystko co wykrył.

 

2. Następnie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1"
IE - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} -  File not found
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=748e7c8c000000000000001966599e11&tlver=1.4.31.2&instlRef=sst&ss=1&affID=100395&q="
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
[2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\pc.XXX\Dane aplikacji\Mozilla\Firefox\Profiles\df4qbiim.default\searchplugins\startsear.xml
[2011-07-22 17:49:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon
[2011-07-22 17:49:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc.XXX\Dane aplikacji\Babylon
[2011-08-08 01:35:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc.XXX\Dane aplikacji\BabylonToolbar
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CD10120B-C165-4f8d-8C74-639629E238FF}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{CD10120B-C165-4f8d-8C74-639629E238FF}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}]
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartował. Po restarcie powinien się otworzyć automatycznie log z wynikami usuwania.

 

3. Do oceny: log z wynikami usuwania plus nowy log z AD-Remover z opcji Scan.

 

 

ZROBIONE

 

Pozostaje czekać, czy to ma pożądane efekty. A to co jest wyłączone aktualnie w ShellExView (m.in. powinny tam widnieć wpisy kontekstowe ArcaVir) łatwo odkręcić poprzez ponowne włączenie uprzednio zdeaktywowanych wpisów, jeśli zajdzie taka potrzeba.

 

 

 

 

.

[Mysza]

Zamknij Firefox i upewnij się, że jego proces jest odładowany.

Polecenia wykonałam, aczkolwiek nie jestem pewna na czym polega to "upewnianie się, że jego proces jest odładowany" - sprawdziłam tylko w menedżeże zadań, czy nie ma na liście procesów firefox.exe

 

 

log z wynikami usuwania

http://wklej.org/id/593545/

 

log z AD-Remover z opcji Scan

http://wklej.org/id/593546/

[picasso]

sprawdziłam tylko w menedżeże zadań, czy nie ma na liście procesów firefox.exe

 

O to właśnie chodziło. Zadanie wykonane.

 

1. Możesz poczynić tradycyjne końcowe porządki: deinstalacja AD-Remover, Sprzątanie w OTL i czyszczenie folderów Przywracania systemu.

 

2. Poza tym, w systemie widać bardzo stare Google Chrome, które należy zaktualizować:

 

Google Chrome Version [4.1.249.1064]

 

Temat będziemy zamykać, ale jeśli problem z explorer.exe znów się ujawni, poproś o otworzenie na PW i pociągniemy diagnostykę dalej.

 

 

.

[Mysza]

Dziękuję bardzo @Picasso za pomoc i poświęcony czas... i niezmiennie pozostaję pod wrażeniem umiejętności .