Infekcja trojanem - usunięcie explorer.exe(?)

[Kliko]

Kiedyś już mi pomogliście, pomóżcie i teraz.
A więc:
Pobrałem z chomikuj pewną paczkę, który (jak się potem przekonałem) miał w sobie instalatora trojana.
Podczas instalacji (infekcji) trojan usunął explorer.exe i pewnie coś jeszcze.
Pulpit (w trybie zwykłym i awaryjnym) nie wyświetla się, nie ma ani paska, ani ikon, jest tylko czarne lub turkusowe tło (kolor zależny od użytkownika, lol).

Gdy w ccleanerze dałem skanowanie rejestru (nie naprawiłem go), aby zobaczyć, czego brakuje, moim oczom pokazało się to:

[Aby zobaczyć linki, zarejestruj się tutaj]

Ostatnia dobra konfiguracja nic nie daje, punkty przywracania systemu magicznie zniknęły (a jeszcze 2 miałem. 2 tygodnie temu). Póki co programy uruchamiam menadżerem zadań (btw mam też linuxa).
Przeskanowałem OTLem, ale nie w wersji exe, bo wyskakuje błąd, że OTL nie jest prawidłową aplikacją Win32.
Wypluło mi tylko OTL.txt, bez extrasa.

Mam nadzieję, że to coś wam powie, komputerowi magicy

[Aby zobaczyć linki, zarejestruj się tutaj]

[KaMiL]

Usunął plik, czy blokuje uruchomienie go? Próbowałeś uruchomić explorer.exe z poziomu menadżera zadań?

[Kliko]

Próbowałem, ale go nie wykrywa.

[tachion]

he bo go nie ma

O20: 64bit:- HKLM Winlogon: Shell - (explorer.exe) -File not found

Ściągnij fix i scal prawym przyciskiem myszy,następnie uruchom kompa ponownie

[Aby zobaczyć linki, zarejestruj się tutaj]

[Kliko]

Nic to nie dało

[tachion]

Ściągnij systemlook

[Aby zobaczyć linki, zarejestruj się tutaj]

i wklej w nim:

:filefind
explorer.exe

:regfind
explorer.exe

pokaż wynik

---

Dodano: 21 paź 2013, 23:23

Spróbuj tak

Wygląda na zmienne środowiskowe

Panel sterowania > System i zabezpieczenia > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu zedytuj zmienną Path wklejając ciąg:

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\

a jak to nie pomoże zastosuj się jeszcze do tego

[Aby zobaczyć linki, zarejestruj się tutaj]

[tommyklab]

Magiku @Kliko następnym razem skanuj AV, virustotal to co ściągasz z chomikuj; czasami ludzie świadomie tam świństwa zamieszczają, aby tacy jak ty mieli potem problem.

[Kliko]

Ściągnij systemlook

[Aby zobaczyć linki, zarejestruj się tutaj]

i wklej w nim:

:filefind
explorer.exe

:regfind
explorer.exe

pokaż wynik

---

Dodano: 21 paź 2013, 23:23

Spróbuj tak

Wygląda na zmienne środowiskowe

Panel sterowania > System i zabezpieczenia > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu zedytuj zmienną Path wklejając ciąg:

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\

a jak to nie pomoże zastosuj się jeszcze do tego

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie wbiłem do panelu sterowania, bo po wpisaniu "control panel" wyskakuje taki błąd:

[Aby zobaczyć linki, zarejestruj się tutaj]

SystemLook:

[Aby zobaczyć linki, zarejestruj się tutaj]

Spróbowałem też sfc /scannow
Coś tam znalazło, coś tam naprawiło, ale nie wszystko.
Log:

[Aby zobaczyć linki, zarejestruj się tutaj]

(za duży na wklej.to i pastebin)

---

Dodano: 22 paź 2013, 15:36

Działa.
Scannow naprawił
W sumie dziwie się, że sam na to nie wpadłem, bo znam dobrze to narzędzie.

Chciałbym jeszcze, abyś pomógł mi w jednej sprawie - od której się to wszystko zaczęło.
A mianowicie program BESTplayer (kocham ten odtwarzacz i nie zamierzam się przesiadać).
Zawsze dobrze działał, ale od wczoraj przy próbie uruchomienia wyskakuje błąd.
Jakiś błąd związany z MSVCR90.dll_unloaded i d2d1.dll

[KaMiL]

A próbowałeś najprostszego sposobu - reinstalacji programu? Odinstaluj, przeczyść CCleanerem i zainstaluj ponownie.

---

Dodano: 22 paź 2013, 18:09

Przeskanuj też dysk Mawarebytes''em i Hitmanem.

[Kliko]

A próbowałeś najprostszego sposobu - reinstalacji programu? Odinstaluj, przeczyść CCleanerem i zainstaluj ponownie.

---

Dodano: 22 paź 2013, 18:09

Przeskanuj też dysk Mawarebytes''em i Hitmanem.

BESTplayer jest programem portable.
Próbowałem pobierać od nowa.
Jak malware ma pomóc na brak biblioteki?

[KaMiL]

Wirus mógł uszkodzić bibliotekę.
Pobierz te pliki

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Rozpakuj i skopiuj biblioteki do C:\Windows\System32oraz C:\Windows\SysWOW64\

[Kliko]

Teraz woła o Aticfx32.dll
Wydaje mi się, że nie mam części bibliotek/mam je uszkodzone.
Jest może jakiś program do ich naprawy?

[KaMiL]

Przeinstaluj sterowniki od grafiki.

[Kliko]

Odpisuję dopiero teraz, bo wcześniej nie ukazywały się żadne nowsze stery, teraz się pojawiły, zaktualizowałem je, nic to nie zmieniło.
Ten ****** błąd z mscvr90.dll doprowadza do szału, przez niego nie mogę nawet uruchomić instalatora daemon toola..
Wrzucenie pliku do system32 nic nie daje.

[Kamillo]

Plik msvcr90.dll jest od bibliotek Microsoft Visual C++ Runtime Library, spróbuj przeinstalować te biblioteki.
Podaj najlepiej co to za komunikat.

A plik d2d1.dll to od Microsoft D2D Library

Po odinstalowaniu przeczyść system i rejestr CCleaner,uruchom komputer i zainstaluj biblioteki

[Kliko]

Które konkretnie studio mam przeinstalować? Mam ich wiele. 2010 już przeinstalowywałem ale nic to nie dało.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Kamillo]

Usuń wszystkie i zainstaluj najnowsze wersje.

Po odinstalowaniu przeczyść system i rejestr CCleaner, uruchom komputer i zainstaluj biblioteki

[Kliko]

Odinstalowałem i zainstalowałem wszystkie Visuale, które miałem od 2005 do 2012.
Nic to nie dało.
Znalazłem "obejście" problemu, mimo to chciałbym go naprawić.
Jakie obejście? Bardzo proste, jeśli instalka/program portable nie działa, tworzę nowy folder z instalką/programem i wrzucam tam msvcr90.dll, jeśli natomiast nie działa zainstalowany program, do wrzucam dlla do jego folderu.
Plik msvcr90.dll jest w SysWOW64, nie ma go w system32 (i chyba nie powinno go tam być).

[dolar444]

Eusing Free Registry Cleaner spróbuj przeczyścić tym programem rejestr systemowy.

[Kliko]

Nic to nie dało.