Nespustí se Explorer.exe

Zdravím vespolek,
odstraňoval jsem z jednoho webu napadený soubor (obsahoval iframe s rootkitem) a asi se mi dostal do počítače. Použil jsem Superantispyware, počítač je čistý, ale po nabootování se zobrazí jen prázdná plocha a nespustí se Explorer.exe.

Vyzkoušel jsem všechny běžné postupy, ale žádný nepomohl - obnovení systému nejde, záznam v registru Shell=Explorer.exe se zdá být v pořádku, soubor explorer.exe je taky OK (dá se spustit ručně), SFC se mi nepovedlo spustit - odmítá CD se systémem, tak co by se dalo ještě zkusit?

OS: Windows XP Home SP3

Děkuju.

Předmět	Autor	Datum
Budu už trapnej, ale zkusil jsi Combofix? Kurt 07.06.2009 14:12	Kurt	07.06.2009 14:12
Ano, Combofix byl použit. host 07.06.2009 14:32	host	07.06.2009 14:32
napadený nějaký driver, nebo není dobře odstraněný původní. process explorer, upm, ... říkáš rootki… lední brtník 07.06.2009 14:18	lední brtník	07.06.2009 14:18
pravdepodobne bude v registrech vetev HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersi… Qemu 07.06.2009 16:34	Qemu	07.06.2009 16:34
Nasel jsem tohle: Spusťte editor a najděte klíč HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Cur… mif 07.06.2009 17:06	mif	07.06.2009 17:06
záznam v registru Shell=Explorer.exe se zdá být v pořádku Toto tam má být - ve winlogonu Windows R… kmochna 07.06.2009 17:20	kmochna	07.06.2009 17:20
Všem moc děkuji za reakci. Asi jsem trochu zazmatkoval, stačilo znovu spustit Combofix a Explorer.e… poslední host 07.06.2009 19:12	host	07.06.2009 19:12

Budu už trapnej, ale zkusil jsi Combofix?

Ano, Combofix byl použit.

napadený nějaký driver, nebo není dobře odstraněný původní. process explorer, upm, ...

říkáš rootkit - vytáhnul bych ten disk a odvšivil ho v jiném pc. autorun máš samozřejmě vyplý.

budu už trapnej, dělat lidem servisáka je jistě záslužná činnost, ale musí mít přitom můj prohlížeč administrátorská práva?

pravdepodobne bude v registrech vetev

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

jsou tam pod klice obsahujici zakazane soubory ( exe soubory od antiviru ruznych firem a dalsi nastroje)
vhodne je zobrazit si systemove soubory a zkontorlovat obsah RECYCLER a zkontrolovat system volume information

Nasel jsem tohle:

Spusťte editor a najděte klíč HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Přepněte se na pravou stranu a vytvořte novou hodnotu DWORD a pojmenujet ji jako AutoRestartShell. Poklikejte na ni a přidělte ji hodnotu 1, PC restartujte.

záznam v registru Shell=Explorer.exe se zdá být v pořádku

Toto tam má být - ve winlogonu

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

Hodnota typu REG_SZ

Pochopitelně vidíš relativní cestu (c:\ je nadřazený c:\windows), není nějaký explorer na lukrativním místě?
Podotázky: režim nouze co? prohlížeč událostí co?

ale po nabootování se zobrazí jen prázdná plocha a nespustí se Explorer.exe.

Aby mohl explorer něco na NT zobrazit, tak musí vědět co může zobrazit = userinit najel a v pořádku?

Všem moc děkuji za reakci.

Asi jsem trochu zazmatkoval, stačilo znovu spustit Combofix a Explorer.exe se již začal spouštět. Tak to snad bude v pořádku, značím jako vyřešeno.

Ještě jednou děkuju.

Zpět do poradny Odpovědět na původní otázku Nahoru