Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Po infekcji (trojan, malware) i leczeniu nie startuje explorer.exe

houek

Przez houek
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

houek

houek

Opublikowano
Opublikowano

Witam serdecznie.

Mam problem ze zlokalizowanie przyczyny nie starującego razem z system procesu explorer.exe. Widzę w sieci, że problem dość popularny w ostatnich dniach - pewnie ten sam syf.

 

W każdym razie po stwierdzeniu infekcji odpaliłem Malwarebytes' Anti-Malware - wykrył infekcję i usunął kilka plików (log w załączeniu). Niestety problem z explorer.exe pozostał.

 

Kiedyś już wałczyłem z infekcją na tym systemie stąd możliwe pozostałości z ComboFix (straszne słowo :P ) dlatego na wszelki wypadek dorzucam log z jego wcześniejszego działania (tak, wiem że CF to nie jest narzędzie do logów - użyty był z premedytacją).

 

Wiem, że najłatwiej dodać explorer.exe do autostartu ale to chyba nie jest rozwiązanie :P

 

Pozdrawiam

Extras.Txt

OTL.Txt

ComboFix.txt

mbam-log-2012-03-01 (10-39-30).txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Mam problem ze zlokalizowanie przyczyny nie starującego razem z system procesu explorer.exe. Widzę w sieci, że problem dość popularny w ostatnich dniach - pewnie ten sam syf.

 

Istotnie, ten sam co u reszty na forum. Problem tworzy dodany wtórnie wpis Shell w gałęzi HKEY_CURRENT_USER:

 

O20 - HKU\S-1-5-21-2069460132-842757298-3216149559-1000 Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-2069460132-842757298-3216149559-1000 Winlogon: Shell - ("C:\Users\Dominik\winlogon.exe") -  File not found

 

Prawidłowy Shell to tylko ten w HKEY_LOCAL_MACHINE:

 

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

 

 

Wiem, że najłatwiej dodać explorer.exe do autostartu ale to chyba nie jest rozwiązanie

 

I nic Ci to nie da, a wręcz jeszcze się pojawią skutki uboczne.

 

 

Kiedyś już wałczyłem z infekcją na tym systemie stąd możliwe pozostałości z ComboFix (straszne słowo :P ) dlatego na wszelki wypadek dorzucam log z jego wcześniejszego działania (tak, wiem że CF to nie jest narzędzie do logów - użyty był z premedytacją).

 

To stary log z ComboFix, sprzed 4 miesięcy. A narzędzie usuwało całkiem inną infekcję, czyli rootkita ZeroAccess. I jeżeli wtedy zakończyłeś tylko na wesołym uruchomieniu ComboFix, to:

 

- Przypuszczalnie nadal są tu ślady działań ZeroAccess typu naruszenia w repozytoriach Vista.

- Niedoczyszczenie. W autoryzacjach zapory widać explorer.exe (to autoryzacje robione przez ZeroAccess). A te oto wyniki z MBAM to jest stara nie zamknięta wtedy sprawa:

 

Files Detected:
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Quarantined and deleted successfully.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Quarantined and deleted successfully.

 

- Nie wspominając o tym, że narzędzie powinno zostać w prawidłowy sposób odinstalowane, co usuwa jego składniki inne niż te oczywiste i resetuje status Przywracania systemu ...

 

 

1. Korekta efektu z Shell. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

Zresetuj system dla potwierdzenia ustąpienia efektu.

 

2. Na wszelki wypadek wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

 

3. Zresetuj reguły zapory z poziomu Panelu sterowania.

 

 

.

Odnośnik do komentarza
houek

houek

Opublikowano
  • Autor
Opublikowano

Polecenie z punktu 1. pomogło, dziękuję!

Log z sfc w załączniku - nie wiedziałem czy chodzi Ci o te ze znacznikiem "[sR]" czy "[sR] Cannot repair member file" jak w tutorialu, więc na wszelki wypadek umieszczam z filtracją dla wszystkich wpisów z [sR] w treści.

 

Zapora zresetowana.

 

Co do CF nadmienię, że miałem taką sytuację, że nie mogłem czekać - wieczorem dostałem zainfekowany komputer a na rano miał działać, więc przed pochopną reinstalacją odpaliłem CF (nie miałem nic do stracenia). A że pomogło to temat tak się został.

 

p.s. żeby dorosły syn czyścił po jeszcze starszym ojcu infekcje ze stron xxx :P Tym razem wprost mu powiedziałem, że to nie ładnie i pokazałem jak włączyć tryb prywatny w Firefox - zawsze to coś :P

 

 

Jeszcze raz wielkie dzięki picasso - kolejny raz mi pomogłaś :]

sfc.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Log z sfc w załączniku - nie wiedziałem czy chodzi Ci o te ze znacznikiem "[sR]" czy "[sR] Cannot repair member file" jak w tutorialu, więc na wszelki wypadek umieszczam z filtracją dla wszystkich wpisów z [sR] w treści.

 

Chodziło mi o log ogólny z wszystkimi znacznikami [sR]. Narzędzie SFC jednak naprawiło szkody, które wyglądają na pochodną rootkita ZeroAccess np.:

 

2012-03-01 11:44:51, Info    CSI    000001fd [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[l:14{7}]"tdx.sys" by copying from backup

 

Dla porównania stary odczyt z ComboFix:

 

Zainfekowana kopia c:\windows\system32\drivers\tdx.sys została znaleziona. Problem naprawiono 
Plik odzyskano z - The cat found it :)

 

A na temat reszty:

 

1. ComboFix należy w końcu w prawidłowy sposób odinstalować. Pobierz go ponownie, z klawiatury klawisz z flagą Windows + R i w Uruchom wklej:

 

"pełna ścieżka dostępu do ComboFix.exe" /uninstall

 

2. Wykonaj dla pewności sprawdzanie za pomocą mini skanera Kaspersky Virus Removal Tool. Przedstaw raport z wykrytymi zagrożeniami, o ile będą. Reszta wyników mnie nie interesuje.

 

 

 

 

.

Odnośnik do komentarza
houek

houek

Opublikowano
  • Autor
Opublikowano

Chodziło mi o log ogólny z wszystkimi znacznikami [sR]. Narzędzie SFC jednak naprawiło szkody, które wyglądają na pochodną rootkita ZeroAccess np.:

Czyli dobry dałem :]

 



Plik odzyskano z - The cat found it :) 







Ten komunikat jest genialny, skąd wziąć takiego kota do znajdywania? :P


 




A na temat reszty:


 


1. ComboFix należy w końcu w prawidłowy sposób odinstalować. Pobierz go ponownie, z klawiatury klawisz z flagą Windows + R i w Uruchom wklej:


 


"pełna ścieżka dostępu do ComboFix.exe" /uninstall






 


Zrobiłem chociaż coś tam jeszcze pozostało po nim - przy deinstalacji do jednego z plików nie było dostępu.


 




2. Wykonaj dla pewności sprawdzanie za pomocą mini skanera Kaspersky Virus Removal Tool. Przedstaw raport z wykrytymi zagrożeniami, o ile będą. Reszta wyników mnie nie interesuje.






KV pokazuje, że czysto. Były jakieś pliki "Password Protected", których nie przeskanował - czy to istotne? Jeśli tak to wrzucę logi.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					






	

	

	

		

			

				


	
		picasso
	

				
				
				
				
			

		

		

			

				


picasso
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
				
			
		

	


	

    

	

		
		

			

Zrobiłem chociaż coś tam jeszcze pozostało po nim - przy deinstalacji do jednego z plików nie było dostępu.


 


Jakiego pliku?


 


 


KV pokazuje, że czysto. Były jakieś pliki "Password Protected", których nie przeskanował - czy to istotne? Jeśli tak to wrzucę logi. 


 


Skoro nic nie wykrył z obszaru zagrożeń, to nie muszę już nic oglądać.


 


 


.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
						
    
							
							
								
  • 
									4 tygodnie później...
								
    • 
							
						

					
					
					
				

					

					
					






	

	

	

		

			

				


	
		houek
	

				
				
			

		

		

			

				


houek
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
						
  • Autor
    • 
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
				
			
		

	


	

    

	

		
		

			

Witam, przepraszam, że nie odpisałem wcześniej ale inna sprawa natury zabezpieczeń mnie dotknęła i musiałem sobie z nią poradzić - infekcja iframe serwera. Na szczęście poradziłem sobie z nią bez utraty innych danych (może jakiś tutorial nawet z tego zrobię).


 


Nie mam aktualnie dostępu do omawianego wcześniej komputera więc temat uważam za rozwiązany.


Mam nadzieję, że plik który się nie skasował to nie będzie jakiś problem.


 


Dziękuję za pomoc i pozdrawiam.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				
			
			



		

	


	
	
	
	
	
		
	

			
				
					


	


	
		Gość
	


	

		

			 Ten temat został zamknięty. Brak możliwości dodania odpowiedzi. 
		
			
		

	



				
			
		

	

	
		

			

				
					


				
				
                

                




				
			

		

	







	

		
			
				Tematy
			
		
	

	




								


	

		
    
			
				
					
					
  • 

    
    
    
        
            Ostatnio przeglądający
        
        
          0 użytkowników
        
    
    
    
    
        
      
            
                
    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
      • 
            
        
    
        
    
    

    • 
				
			
		

	


							

							


						

					

					
				

				

				

			

		

			
    
		


	

		×
		

			
				

					
				

			

			

			

			
		

	






	

		×
		

			
    
				
  • Dodaj nową pozycję...
    •