Pravděpodobně infikovaný explorer

Dobrý den, mam podezření že je infikovaný explorer.exe.
Při startu počítače (po bootu) když nabíhají windows (po uvítací obrazovce) se zasekne spodní lišta, a nedá se vykonat žádná operace, hází chybu pouze API_něco apod. Agresivním způsobem jsem se po hodině dostal do přikazového řádku, snažil jsem se tedy vykonat /sfc scannow který napoprvé neuspěl. Po restartu jsem ho dal znova a řekl mi že už běží nějaká úloha (údržba nebo oprava). Podíval jsem se do netstat zdali tam není navíc I/O připojení. Nenašel jsem nic, ale když jsem ukončil explorer.exe (taskkill force) tak už jak si nic nevykazovalo chyby, nezasekává se počítač. Nyní jsem spustil chkdsk, ale tím to rozhodně nebude. Napadá mě smazat explorer (popřípadě přejmenovat) a zkusit znovu spustit /sfc scannow.

Po vložení DVD s windows mi neidentifikovali os, musel jsem dát bitovou kopii a stisknout ESC pro přístup do údržbového módu (cmd, test pamětí, oprava)

Dal jsem Opravu která nenašla problém.
V paměti taktéž problém není.

Mam podezření že virus se učí, cokoliv zadám do CMD už mi to napodruhé nebere. Jako kdyby nějaký event logoval každý řádek který vložim a pak ověřil zdali je v logu a následně zakázal.

Setkali jste se s tímto problémem? Popřípadě zdali mi ho pomůžete vyřešit.

Co si nemohu dovolit je přeinstalovat OS. Vždycky existuje nějaké řešení jak rozbořený systém opravit.

Snažím se nyní vyzkoumat zdali se dá zjistit jaká údržba probíhá a popřípadě jak jí zrušit pro vykonání sfc.

Předmět	Autor	Datum
Podařilo se mi zachytit tu jednu z tisíce chyb: System_atapi_11 -- MessageBox bez nadpisu s tlačítke… Pavel Hrajer 04.05.2014 21:37	Pavel Hrajer	04.05.2014 21:37
neviem ako dlho sa stym trapiš ale keby si mal zalohu tak 15min a ideš,tu ale odporučam preinštalova… wwxww 04.05.2014 21:42	wwxww	04.05.2014 21:42
Napadá mě smazat explorer (popřípadě přejmenovat) a zkusit znovu spustit /sfc scannow. doplněk přec… lední brtník 04.05.2014 21:42	lední brtník	04.05.2014 21:42
Projel jsem veškeré procesy, žádný podezření nemam, musel bych nějakým si způsobem zkontrolovat zdal… Pavel Hrajer 04.05.2014 21:48	Pavel Hrajer	04.05.2014 21:48
ie má správu doplňků - kontroloval jsi? Nemam tušení oč se jedná, můžete mě prosím navigovat? Pavel Hrajer 04.05.2014 21:50	Pavel Hrajer	04.05.2014 21:50
Protentokrát ověření zůstalo na 10%. Víz obrázek. Obrázek Pavel Hrajer 04.05.2014 21:56	Pavel Hrajer	04.05.2014 21:56
obrázek: naplánovat kontrolu disku chkntfs /c c: ..a restart. už je to tu za víkend asi po 10., to… lední brtník 04.05.2014 22:00	lední brtník	04.05.2014 22:00
Ihned se na to vrhnu, jinak AdwCleaner[R0].txt # AdwCleaner v3.206 - Report created 04/05/2014 at 2… Pavel Hrajer 04.05.2014 22:10	Pavel Hrajer	04.05.2014 22:10
chkntfs /c c: následně jsem resetoval shutdown /r = Vypnout a Resetovat žádná kontrola při startu… Pavel Hrajer 04.05.2014 22:20	Pavel Hrajer	04.05.2014 22:20
tobě se nezobrazuje na ploše vůbec nic? pravděpodobně poškozený profil - přihlas se jako administrat… lední brtník 04.05.2014 22:43	lední brtník	04.05.2014 22:43
pastebin.com výpis z ms autoruns. Na větvi [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Curren… siOnzeeSlav 04.05.2014 23:01	siOnzeeSlav	04.05.2014 23:01
ten výpis je hnus, ale neznámá mi připadá jen jedna položka: "HKLM\System\CurrentControlSet\Service… lední brtník 04.05.2014 23:37	lední brtník	04.05.2014 23:37
To je anticheat služba ke hře DayZ Standalone. siOnzeeSlav 04.05.2014 23:41	siOnzeeSlav	04.05.2014 23:41
a zbytek, proč nejede explorer / nefunguje správce úloh? tobě se nezobrazuje na ploše vůbec nic? pr… poslední lední brtník 05.05.2014 07:04	lední brtník	05.05.2014 07:04
někde v menu nastavení - správa doplňků. report: adwcleaner. lední brtník 04.05.2014 21:58	lední brtník	04.05.2014 21:58

Podařilo se mi zachytit tu jednu z tisíce chyb:
System_atapi_11 -- MessageBox bez nadpisu s tlačítkem Ok.

neviem ako dlho sa stym trapiš ale keby si mal zalohu tak 15min a ideš,tu ale odporučam preinštalovat

Napadá mě smazat explorer (popřípadě přejmenovat) a zkusit znovu spustit /sfc scannow.

doplněk přece není součástí toho exe, čeho tím chceš dosáhnout?
ie má správu doplňků - kontroloval jsi?
jinak si projdi report z adwcleaner nebo hijackthis.
samozřejmost jako mít přehled o startup položkách nemusím připomínat.

Projel jsem veškeré procesy, žádný podezření nemam, musel bych nějakým si způsobem zkontrolovat zdali nejsou injectnuty (např. svchost.exe)

Chkdsk vypsal následující řádky:

Položka indexu IEAdvpack.dll.mui v indexu $I30 souboru 118652 není správná.
Položka indexu IEADVP~1 v indexu $I30 souboru 118652 není správná.
Položka indexu iexpress.exe.mui v indexu $I30 souboru 118653 není správná.
Položka indexu IEXPRE~1 v indexu $I30 souboru 118653 není správná.
Položka indexu wextract.exe.mui v indexu $I30 souboru 118653 není správná.
Položka indexu WEXTRA~1.mui v indexu $I30 souboru 118653 není správná.

a dále pokračuje.

Nemohu do PC zasahovat jinak než skrze cmd.
Jak pak mohu PC projít adwcleanerem nebo hijackthis nástrojem?

ie má správu doplňků - kontroloval jsi?

Nemam tušení oč se jedná, můžete mě prosím navigovat?

Protentokrát ověření zůstalo na 10%. Víz obrázek.
Obrázek

obrázek: naplánovat kontrolu disku

chkntfs /c c:

..a restart.
už je to tu za víkend asi po 10., to ti lidi vypínají pc za chodu?

Ihned se na to vrhnu, jinak AdwCleaner[R0].txt

# AdwCleaner v3.206 - Report created 04/05/2014 at 22:03:17
# Updated 04/05/2014 by Xplode
# Operating System : Windows 7 Ultimate Service Pack 1 (64 bits)
# Username : pavel - PAVEL-PC
# Running from : E:\adwcleaner.exe
# Option : Scan

***** [ Services ] *****


***** [ Files / Folders ] *****

Folder Found : C:\Windows\SysWOW64\AI_RecycleBin

***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Found : HKLM\Software\Solvusoft

***** [ Browsers ] *****

-\\ Internet Explorer v11.0.9600.17041


-\\ Google Chrome v34.0.1847.131

[ File : C:\Users\pavel\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [683 octets] - [04/05/2014 22:03:17]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [742 octets] ##########

chkntfs /c c:

následně jsem resetoval

shutdown /r = Vypnout a Resetovat

žádná kontrola při startu neproběhla. Nyní už jsem ztratil i přístup k CMD.
Přes CTRL ALT DELETE dostanu chybu že operace nemohla být vykonána. Po kliknutí na ikonu na ploše se mi zasekne celý explorer.

tobě se nezobrazuje na ploše vůbec nic? pravděpodobně poškozený profil - přihlas se jako administrator a tam naplánuj tu kontrolu disku.
nebo je start exploreru blokován nějakým vadným programem v "po spuštění", viz prohlížeč událostí eventvwr.msc -> protokoly windows -> systém

spustíš regedit.exe ? zajímavá by byla kontrola větve

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

nebo ti ji vypíše ms autoruns.

okno cmd.exe nebo "plochu" explorer.exe spustíš přes správce úloh ctrl+alt+del -> soubor -> nová úloha.
aha - dostaneš jakousi chybu.

***** [ Files / Folders ] *****
Folder Found : C:\Windows\SysWOW64\AI_RecycleBin

to máš zas co? nabootuj z nějakého live cd (ideální je av boot cd kaspersky) a smaž ten obskurní adresář.
pak ten disk proskenuj na viry.

nebo disk vytáhni, přidej jako druhý do stolního pc, nech ho odvirovat a ještě na něm zkontrolovat souborový systém na chyby: disk - vlastnosti - nástroje - kontrola.

pastebin.com výpis z ms autoruns.

Na větvi
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

Jsem nenašel nic zvláštní, je totožná s tou co jste napsal.

'Obskurní' adresář jsem již taktéž odstranil.

Nyní jdu prověřit události eventvwr.msc

ten výpis je hnus, ale neznámá mi připadá jen jedna položka:

"HKLM\System\CurrentControlSet\Services"
"BEService" ... "c:\program files (x86)\common files\battleye\beservice.exe"

co to je? zkus to oskenovat antivirem nebo na virustotal nebo eset-online.
prý je to něco od sony - to zjistíš ve vlastnostech toho .exe

To je anticheat služba ke hře DayZ Standalone.

a zbytek, proč nejede explorer / nefunguje správce úloh?

tobě se nezobrazuje na ploše vůbec nic? pravděpodobně poškozený profil - přihlas se jako administrator a tam naplánuj tu kontrolu disku.

někde v menu nastavení - správa doplňků.

report: adwcleaner.

Zpět do poradny Odpovědět na původní otázku Nahoru