Virus ČR ... explorer.exe

Dobrý den,
odstraňoval jsem na ntb (HP pavilion s win 7 home, 64b) ransomware Policie ČR vás sleduje. Jednalo se o tu horší mutaci, kde po přihlášení do nouzového režimu se pc automaticky restartoval. Nakonec jsem připojil hdd z ntb k mému pc, projel sw rougekiller, superantispyware a trojanremower. Vir jsem tímto způsobem odstranil.

A teď k problému: Poté co jsem hdd vrátil z5 do ntb, se po přihlášení uživatele (který byl zavirován), zobrazí jen cmd a nenaběhne exlorer.exe. Poté co spustím explorer z cmd, naběhne v pořádku a vše je jak by melo být. Mám zato, že jeden z antispyware sw "opravil/smazal" winlogon, tudíž jsem vygooglil přidání klíče AutoRestartShell (1), který ve winlogonu chyběl. Bohužel to nepomohlo, po restartu opět nenaběhne explorer.exe. Také jsem zkoušel vrátit winlogon utilitkou z sw superantispyware (Repairs->Reset Winlogon shell), bohužel bez výsledku.

Mohl by mi někdo prosím poradit, co s tím? Nejradši bych šel do továrního nastavení nebo bodu obnovení (cca 2 roky zpět), ale kvůli tomu, že je na ntb legální zakoupená licence na Win7 (CoA štítek je prodřený/"vypocený"), Office 07(uživatel cd key "ztratil"), AVG(nevím zda má uživatel někde cd key), rád bych pc jen opravil; vrátil do stavu před virem. (cd klíče z win a office už jsem pro jistotu vytáhl, AVG nevím zatím kde zjistit).

Napište prosím jaké screeny zde potřebujete pro případnou pomoc (např. winlogon z regeditu?). Díky moc

Předmět	Autor	Datum
Sice nevím, co s tím, ale pro příště. RogueKiller se nepoužívá v cizím PC kde nákaza není, RogueKill… albru123 18.08.2013 16:42	albru123	18.08.2013 16:42
díky, aspoň vím pro příště :¨) animalplanet 18.08.2013 18:26	animalplanet	18.08.2013 18:26
Product keye vyčtou utility (např. RockXP, nebo něco od Nirsoftu), číslo AVG pošle firma na registra… Kurt 18.08.2013 16:52	Kurt	18.08.2013 16:52
sfc -> proběhlo v pořádku animalplanet 18.08.2013 18:26	animalplanet	18.08.2013 18:26
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "shell"="explore… lední brtník 18.08.2013 17:18	lední brtník	18.08.2013 17:18
Díky moc, v shellu bylo cmd.exe, už to fachá jak má ;> animalplanet 18.08.2013 18:25	animalplanet	18.08.2013 18:25
může mi ten vir někdo poslat? Chtěl bych si ho taky vyzkoušet. mnua.al 18.08.2013 18:03	mnua.al	18.08.2013 18:03
Blázne! .. Buď rád že ho nemáš. In-lander 18.08.2013 18:13	In-lander	18.08.2013 18:13
dyť se nic neděje, když mě přestane bavit, tak jendoduše vrátím snapshot ve vmware. poslední mnua.al 18.08.2013 19:03	mnua.al	18.08.2013 19:03

Sice nevím, co s tím, ale pro příště. RogueKiller se nepoužívá v cizím PC kde nákaza není, RogueKiller prostě vypne všechny procesy které nepatří samotným Windows, což bylo na jiném PC zbytečné.

díky, aspoň vím pro příště :¨)

Product keye vyčtou utility (např. RockXP, nebo něco od Nirsoftu), číslo AVG pošle firma na registrační mail, čili nevidím probém v tom tu potvoru přeinstalovat.
Zkusil jste tam udělat komplet kontrolu MBAMem?
Co tak zkusit sfc /scannow?

sfc -> proběhlo v pořádku

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell"="explorer.exe"

edit:
ještě doplním spuštění z příkazového řádku - jeden z nouzových režimů:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f

Díky moc, v shellu bylo cmd.exe, už to fachá jak má ;>

může mi ten vir někdo poslat? Chtěl bych si ho taky vyzkoušet.

Blázne! .. Buď rád že ho nemáš.

dyť se nic neděje, když mě přestane bavit, tak jendoduše vrátím snapshot ve vmware.

Zpět do poradny Odpovědět na původní otázku Nahoru