Błąd Temp2.exe proszę o pomoc


(Kosmitek1) #1

Dzień dobry.

Mam problem mianowicie podczas przenoszenia z pendrive jakiś tam plików prawdopodobnie wirusa złapałem jakiegoś po ściągnięciu wyskoczył błąd temp2.exe i automatycznie komp mi się wyłączył (zrestartował) i tak za każdym razem.

System awaryjny po włączeniu także po chwili się restaruje tak więc pozostał mi tylko wiersz poleceń trybu awaryjnego który na szczęście chodzi. Prosiłbym o jakiekolwiek wskazówki w tym celu.

Czytałem conieco jednak sam się do tego nie chcę zabierać :confused:

pozdrawiam


(Henio Mazurek) #2

Może uda Ci się pobrać i uruchomić ComboFix

viewtopic.php?p=1170959#p1170959

Jeśli go uruchomisz powstanie log, wklej go na http://www.wklej.org a tu daj linka.

Zaraz po starcie? Może było jakieś odliczanie. Może coś uszkodziło plik userinit.


(Kosmitek1) #3

Niema takiej możliwości komp wyłącza się po około 5 sek (obecnie pracuje na innym). Noi teraz moje pytanie czy można loga zrobić w trybie awaryjnym wiersza poleceń, jeżeli tak to proszę o info jakieś odnośnie tego. Z tego co się orientuję to zgrać program na pendrive (dobrego) podłączyć do kompa i wskazać na ComboFix.exe, ale dla pewności jak możesz to napisz czy właśnie tak i czy log tworzy się w tym samym miejscu co jest ComboFix czyli w tym wypadku automatycznie na pendrivie się pojawi?

Wcześniej żadnego odliczania nie było teraz obecnie po włączeniu kompa pokazuje się okno błędu temp2.exe i po tym odrazu się sam restaruje. Czy pliki userinit zostały uszkodzone tego to nie wiem. Wiem tylko i wyłącznie była to wina pendrive którego podłączyłem i ściągnełem pliki.

pozdrawiam


(Henio Mazurek) #4

W wierszu poleceń wpisz

Napisz co się wyświetliło.

Spróbuj też przywrócić plik Userinit.exe, wchodzisz w konsolę odzyskiwania (wkładasz płytę z Windows)

http://www.adam749.eu/index.php?id=konsola

Wpisujesz komendy

expand X:\i386\userinit.ex_ C:\WINDOWS\system32\userinit.exe

jak wyskoczy błąd to

expand X:\i386\userinit.ex_ C:\WINDOWS\system32

X - litera pod jaką masz napęd (jak nie jesteś pewien to wpisz polecenie map), C - partycja z systemem


(Kosmitek1) #5

!REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon userinit

REG_SZ C:\WINDOWS\system32\userinit.exe

Niestety plik userinit.exe nie jest uszkodzony nałożyłem jeden na drugi

może jeszcze jakieś pomysły :?

pozdrawiam


(Henio Mazurek) #6

Naprawianie Windows przez cmd raczej się nie sprawdzi, dlatego jeszcze zerknij na tą stronę

http://www.searchengines.pl/index.php?s ... st&p=76658

Jeśli i tutaj nic nie pomoże możesz wykonać instalację nakładkową Windows (bez utraty danych)

http://www.adam749.eu/index.php?id=instal_XP

W punkcie 5 wybierz b a przy 17 zresetuj komputer, w ten sposób dane powinny się zachować.

Jeśli się uda to pobierasz i uruchamiasz ComboFix, wklejasz log (nie podłączaj czasem pena przed uruchomieniem ComboFix'a).


(Kosmitek1) #7

Tak więc teraz prosze o dalszą pomoc wykonałem Loga

HiJackThis:

http://www.wklej.org/id/93106/

i następnie zrobiłem log ComboFix

http://wklej.org/id/93107/

i teraz mam problem który widnieje przy logu "UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!"

Komputer się włącza normalnie i wyskakuje informacja, że brakuje pliku svchost.exe można na nim spokojnie pracować jednak nadal coś jest nie tak i mam obawe bo wyrzucił chyba kilka plików systemowych z tego co widnieje :?

proszę o pomoc

pozdrawiam


(Henio Mazurek) #8

To jest potrzebne by przywrócić rejestr do stanu sprzed użycia ComboFix, gdyby system się nie ładował po jego użyciu.

To Twój plik w autostarcie?

ComboFix usunął śmieci. Na koniec Start => Uruchom => wpisz Combofix /u

Wyłącz na chwilę przywracanie systemu.

Wylecz pamięci przenośne tymi programami

http://www.softpedia.com/get/Security/S ... Tool.shtml

http://www.searchengines.pl/index.php?s ... ntry369724

Wykonaj dokładny skan Malwarebytes, jeśli coś znajdzie - usuń i wklej log

http://dobreprogramy.pl/index.php?dz=2& ... lware+1.36

Przeczyść rejestr CCleaner'em

http://dobreprogramy.pl/index.php?dz=2& ... +v2.19.901

Jeszcze wejdź do klucza rejestru

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Odszukaj wartość Shell , klikasz modyfikuj, w okienku ma zostać jedynie Explorer.exe

W HT usuń


(system) #9

W HijackThis usuń jeszcze to:


(Leon$) #10

usuń HijackThisem >> Fix checked

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Kosmitek1) #11

Tak jak napisałeś plik w autostarcie jest Empty (ikona dos) czy mam coś z nim zrobić ??

Combofix także usunełem już z kompa tak jak napisałeś.

A i jeszcze jedno komputer który mi padł nigdy nie był podłączony do internetu i nadal nie jest.

Co do pendrive to formata zrobiłem już na nim nie były aż tak cenne rzeczy na nim to chyba raczej wystarczy ale jak zaproponujesz abym go tymi antywirusami przeskanował to tak zrobię.

Skan z Malwarebytes:

http://www.wklej.org/id/93138/

Wszystko usunełem

Co do tego CCleaner to klikłem analiza znalazł mi jakieś pliki i "Uruchom Cleaner" w tym momęcie mam usunąć te pliki wszystie które obecnie tam są ? Bo jest jeszcze ikona "Rejestr" a tam "skanuj by znaleźć problem"


(dethloe123) #12

Przeskanuj Malwarebytes i usuń wszystko co znajdzie!


(Henio Mazurek) #13

Masz wykonać jeszcze to co napisał Leon$.

FlashDisinfector nie tylko usuwa wirusy ale i immunizuje pendrive'a i dyski przed tym aby infekcja nie zostawiła tam swojego startera.

CCleanerem wyczyść też rejestr.

Możesz też robić backup rejestru programem ERUNT, wtedy szybko można przywrócić uszkodzony rejestr nawet jak system nie wstaje.

http://www.larshederer.homepage.t-online.de/erunt/


(Kosmitek1) #14

Co do usunięcia w programie Hijackthis troszkę tam ubyło dlatego daje skana z obecnego

http://wklej.org/id/93159/

usunełem tylko aktualne 2 co są:

O4 - HKLM..\Run: [bron-Spizaetus] "C:\WINDOWS\ShellNew\sempalong.exe"

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"

Avangera uruchomiłem skopiowałem to co wyżej napisane i oto raport

http://wklej.org/id/93165/

Wykonałem także czyszczenie rejestru na CCleaner


(dethloe123) #15

Leon$ dał skrypt taki:

Smss.exe to nie jest folder! Jak coś to powinien być taki skrypt:


(Henio Mazurek) #16

W HT. Usuń te wpisy co wymieniłeś, są bezplikowe.


(Kosmitek1) #17

To co napisał Leon$ wykonałem z tym że kolega [dethloe123] jak dobrze zuaważył jednego nie wykasował włączyłem Avangera ponownie i zmieniłem tak jak napisał loga nie będę wklejł pisał successfully i zostało usunięte. Log jest poprzedni bez jednego usunięcia http://wklej.org/id/93165/

Zostały usunięte.

Tak więc teraz stoje w sytuacji gdzie przy włączeniu kompa widnieje tylko informacja że brakuje:

"C:/WINDOWS\svchost.exe"

i kolejny :

Nie można załadować lub uruchomić podanego w Rejestrze pliku "C:/WINDOWS\svchost.exe". Upewnij się, że plik istnieje na tym komputerze lub usuń z Rejestru odwołanie do niego.

Proszę nadal o pomoc

dziś niestety już nie będzie mnie do pracy na nocke jednak jutro będę napewno z samego rana na chwilkę i później w godzinach popłudniowych.

pozdrawiam i z góry dziękuje za pomoc :slight_smile:


(Henio Mazurek) #18

To pusty wpis w rejestrze po wirusie. Trzeba będzie go usunąć ręcznie. Skoro CCleaner go nie usuwa to pewnie dopisał się w danych wartości.

Wejdź przez regedit w ten klucz, zrób screen i pokaż

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Lub użyj opcji znajdź (odznacz wszystko oprócz Dane , tam wpisz C:\WINDOWS\svchost.exe i podaj w jakich kluczach to zostało odnalezione (PPM na klucz Kopiuj nazwę klucza, wklejasz tu).


(Kosmitek1) #19

Przepraszam ale nie miałem możliwości być ostatnio.

Mam problem ponieważ gdy chcę otworzyć "regedit" wyskakuje mi info, że "Edycja rejestru została wyłączona przez administratora sieci". Teraz moje pytanie jak to można inaczej zrobić bezpośrednio z kompa bo nie chcę żadnych pendrive podłączać cokolwiek do niego podłącze to zawsze przeskakuje plik "Data[nazwa urzytkownika komputera].exe i czort wie co jeszcze bo później po skanowaniu zazwyczaj zarażone są inne pliki. Być może można podejrzeć jakoś klucz w cmd czytałem conieco w support microsoft jednak sam nie wiem.

I może z innej beczki czy jeżeli zainstaluje Kaspersky Internet Security 2009 to znajdzie i usunie mi ten problem. Wczoraj kupiłem do urzytku domowego na 3 kompy na 1 rok. Ponownie proszę o pomoc.

pozdrawiam


(@Blade@) #20

Wklej do notatnika:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"DisableRegistryTools"=–

"DisableRegedit"=–


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"DisableRegistryTools"=–

"DisableRegedit"=–

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie utworzony plik i potwierdź >>> restart kompa

Wylecz pendrive Flash Disinfector lub sformatuj

Później wykonaj to co zalecił ciemnowidz