Problem z explorer.exe


(nowyyy31) #1

Witam

mam problem z explorer.exe

b6c2ddc1faad088f2b3ebf81bf22e4694731_min.png

logi z HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:37:18, on 2009-03-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\AIMP2\AIMP2.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"

O4 - HKUS\S-1-5-21-2000478354-839522115-725345543-1003\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe" (User '?')

O4 - HKUS\S-1-5-21-2000478354-839522115-725345543-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-2000478354-839522115-725345543-1003\..\Run: [Google Update] "C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c (User '?')

O4 - HKUS\S-1-5-21-2000478354-839522115-725345543-1003\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe" (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Atomic Email Hunter - C:\Program Files\AtomPark\Atomic Email Hunter\ie.htm

O8 - Extra context menu item: Eksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe


--

End of file - 5526 bytes

(Olixxx94) #2

nowyyy31 , daj jeszcze log z Combofix (log z Hijacka czysty).

Uruchom kompa z płyty instalacyjnej systemu, wejdź do konsoli odzyskiwania (klawisz R).

Wpisz MAP ARC i pamietaj, pod jaką literą jest napę CD/DVD.

Wpisz expand X/i386/explorer.ex_ C:/Windows/explorer.exe

gdzie X to litera napędu, a C partycja z zainstalowanym systemem.


(nowyyy31) #3

logi z Combofix

ComboFix 09-03-19.01 - Właściciel 2009-03-20 15:59:30.4 - NTFSx86

(Piotrkijak) #4

Olcia, pozwolę sobie poprawić Cię, gdyż napisałaś źle polecenia z niepoprawnym ukośnikiem... Polecenia powinne wyglądać tak:

expand x:\i386\explorer.ex_ c:\windows\explorer.ex_ i wciskasz enter. Jeżeli wyskoczy błąd to wtedy wpisz expand x:\i386\explorer.ex_ c:\windows

pomiędzy explorer.ex_ i c:\windows jest spacja... Co do wielkich liter to nie ma znaczenia czy polecenie wpisze się małymi czy dużymi literami-konsola tak czy siak "zrozumie" o co chodzi...


(Spandau) #5

Obawiam się że możesz mieć wirusa infekującego pliki exe konkretnie Viruta

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanujsystem Dr.WEB CureIt! Już podczas pobierania zapisz go pod zmienioną nazwą np 123.com Wykonaj pełne skanowanie napisz co znalazł

Jeśli skaner nic nie znajdzie zrób to o czym napisali poprzednicy


(nowyyy31) #6

sformatowałem komputer bo nie mogłem odpalić win xp

po skanowaniu online (http://www.mks.com.pl/skaner/)

otrzymałem taki raport

0c4f6cf9ba894699cdfc3902f3199010603.png


(Piotrkijak) #7

Miałeś wirusa infekującego pliki exe. Explorer dlatego nie działał bo jak widzać w raporcie on też uległ infekcji... Mks wszystkie pliki pokasował, więc nie potrzebnie robiłeś formata-starczyło zrobić instalację nakładkową bez utraty danych i windows by ruszył...