Virus ČR ... explorer.exe
Dobrý den,
odstraňoval jsem na ntb (HP pavilion s win 7 home, 64b) ransomware Policie ČR vás sleduje. Jednalo se o tu horší mutaci, kde po přihlášení do nouzového režimu se pc automaticky restartoval. Nakonec jsem připojil hdd z ntb k mému pc, projel sw rougekiller, superantispyware a trojanremower. Vir jsem tímto způsobem odstranil.
A teď k problému: Poté co jsem hdd vrátil z5 do ntb, se po přihlášení uživatele (který byl zavirován), zobrazí jen cmd a nenaběhne exlorer.exe. Poté co spustím explorer z cmd, naběhne v pořádku a vše je jak by melo být. Mám zato, že jeden z antispyware sw "opravil/smazal" winlogon, tudíž jsem vygooglil přidání klíče AutoRestartShell (1), který ve winlogonu chyběl. Bohužel to nepomohlo, po restartu opět nenaběhne explorer.exe. Také jsem zkoušel vrátit winlogon utilitkou z sw superantispyware (Repairs->Reset Winlogon shell), bohužel bez výsledku.
Mohl by mi někdo prosím poradit, co s tím? Nejradši bych šel do továrního nastavení nebo bodu obnovení (cca 2 roky zpět), ale kvůli tomu, že je na ntb legální zakoupená licence na Win7 (CoA štítek je prodřený/"vypocený"), Office 07(uživatel cd key "ztratil"), AVG(nevím zda má uživatel někde cd key), rád bych pc jen opravil; vrátil do stavu před virem. (cd klíče z win a office už jsem pro jistotu vytáhl, AVG nevím zatím kde zjistit).
Napište prosím jaké screeny zde potřebujete pro případnou pomoc (např. winlogon z regeditu?). Díky moc
Sice nevím, co s tím, ale pro příště. RogueKiller se nepoužívá v cizím PC kde nákaza není, RogueKiller prostě vypne všechny procesy které nepatří samotným Windows, což bylo na jiném PC zbytečné.
díky, aspoň vím pro příště :¨)
Product keye vyčtou utility (např. RockXP, nebo něco od Nirsoftu), číslo AVG pošle firma na registrační mail, čili nevidím probém v tom tu potvoru přeinstalovat.
Zkusil jste tam udělat komplet kontrolu MBAMem?
Co tak zkusit sfc /scannow?
sfc -> proběhlo v pořádku
edit:
ještě doplním spuštění z příkazového řádku - jeden z nouzových režimů:
Díky moc, v shellu bylo cmd.exe, už to fachá jak má ;>
může mi ten vir někdo poslat? Chtěl bych si ho taky vyzkoušet.
dyť se nic neděje, když mě přestane bavit, tak jendoduše vrátím snapshot ve vmware.