Dwa procesy explorer.exe widnieją w menedżerze zadań

[CrashJack]

\tak to wygląda, powinny być dwa explorery czy nie ? i co zrobić aby jednego usunąć ?
win7 x64
na win7 x86 jest jeden explorer


Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników


a tutaj czy to normalne trustedinstallerpowinno być ?
Dostępne tylko dla zarejestrowanych użytkowników

-- 15 wrz 2014, 22:56 --

wykryłem, że ten explorer łączy się z IP
oraz firefox też łączy się, nie wiem dlaczego
zablokowałem firewall'em tego explorera

Dostępne tylko dla zarejestrowanych użytkowników


Dostępne tylko dla zarejestrowanych użytkowników

[LupeR]

Może najpierw standardowa porada, czyli wejdź w Panel sterowania -> Opcje folderów i zobacz czy nie masz zaznaczone "Otwórz każdy folder w osobnym oknie", jak tak to zmień na "...w tym samym oknie".

Jeśli tam jest dobrze ustawione to podaj logi z OTL i FRST, tam na pewno będzie widać co jest grane

OTL.txt i Extras.txt --> http://www.hotfix.pl/obsluga-programu-otl-a143.htm
FRST --> bezpieczenstwo/korzystanie-z-frst-t28530.html

Logi wklejasz na:
Dostępne tylko dla zarejestrowanych użytkowników
a na forum podajesz tylko linki do nich.

[CrashJack]

oto logi:

FRST:
addittion - Dostępne tylko dla zarejestrowanych użytkowników
FRST - Dostępne tylko dla zarejestrowanych użytkowników
Shourtcut - Dostępne tylko dla zarejestrowanych użytkowników

OTL:
otl - Dostępne tylko dla zarejestrowanych użytkowników
extras - Dostępne tylko dla zarejestrowanych użytkowników


antyvirus wykrył simdę.VU
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

antyvirus wykrył simdę.VU

Tylko fajnie, że powiedziałeś Nam gdzie (lokalizacja, screen) (?)

Kolejna osoba która na własne życzenie uszkadza sobie system bo niby dba o jego wydajność pseudo-programami i innymi cudakami które sypią błędami:

Kod: Zaznacz cały

O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (c:\program files\soluto\soluto.exe /userinit) - c:\program files\soluto\soluto.exe (Soluto)
O27 - HKLM IFEO\mstore.exe: Debugger - C:\Program Files (x86)\AVG\AVG PC TuneUp....................
O4 - HKU\S-1-5-21-2622835651-1712134509-2677869765-1000..\Run: [MzCPUAccelerator] C:\Program Files\Mz 7 Optimizer\MzCPUAccelerator.exe (Mz Ultimate Tools)
O4 - HKU\S-1-5-21-2622835651-1712134509-2677869765-1000..\Run: [MzRAMBooster] C:\Program Files\Mz 7 Optimizer\MzRAMBooster.exe (Mz Ultimate Tools)
O4 - HKU\S-1-5-21-2622835651-1712134509-2677869765-1000..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware)

W Twoim przypadku pomoc powinna być płatna - sam narobiłeś tej biedy i sam musisz to wypić.

===============================================================================

1. Odinstaluj:
"Wise Auto Shutdown_is1" = Wise Auto Shutdown 1.42
"Wise Care 365_is1" = Wise Care 365 3.23
"Wise Disk Cleaner_is1" = Wise Disk Cleaner 7.82
"Wise Memory Optimizer_is1" = Wise Memory Optimizer 3.31
"Wise Registry Cleaner_is1" = Wise Registry Cleaner 7.17
"WinPcapInst" = WinPcap 4.1.3
"UltraDefrag" = Ultra Defragmenter
"save2pc Ultimate_is1" = save2pc Ultimate 4.25
"AVG PC TuneUp" = AVG PC TuneUp 2014
SUPERAntiSpyware
"Mz7Optimizer_is1" = Mz 7 Optimizer
Soluto

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Uruchom FireFox > menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

5. Wykonaj nowe komplety logów z OTL i FRST. Czyli z OTL ma być OTL.txt a z FRST - FRST.txt oraz Addition.txt


.

[CrashJack]

Tylko fajnie, że powiedziałeś Nam gdzie (lokalizacja, screen) (?)

a tutaj, i jeszcze kilka ostatnich zagrożeń

Dostępne tylko dla zarejestrowanych użytkowników

dzięki, zabieram się za czyszczenie ;p
tylko dalej nie wiem, jakiego programu zewn. używać do defragmentacji i usuwania śmieci z dysku i rejestru

[djarta]

tylko dalej nie wiem, jakiego programu zewn. używać do defragmentacji i usuwania śmieci z dysku i rejestru

To na koniec

[CrashJack]

Adw-cleaner:
Dostępne tylko dla zarejestrowanych użytkowników

JRT:
Dostępne tylko dla zarejestrowanych użytkowników


FRST:
frst - Dostępne tylko dla zarejestrowanych użytkowników
addition - Dostępne tylko dla zarejestrowanych użytkowników

OTL:
otl - Dostępne tylko dla zarejestrowanych użytkowników

dodatkowo zrobiłem logi
rogueKiller'em
Dostępne tylko dla zarejestrowanych użytkowników


jak skanowałem JRT to sprawdziłem w menedżerze zadań i tylko jeden explorer się pojawił, drugiego nie było, a teraz są znowu dwa

jak zresetowałem firefox'a to wszystkie add-ons'y usunęło :/

rogueKiller znalazł coś w rejestrze typu:

Kod: Zaznacz cały

PUM.Dns
PUM.DesktopIcons
PUM.Policies
PUM.HomePage
PUM.SearchPage

jak kasowałem adw-cleaner'em to po restarcie powłoka zmieniła się taka jak w win95/98/me

[djarta]

1. Otwórz notatnik i wklej:

S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_169.dll No File
CHR Plugin: (Java Deployment Toolkit 7.0.210.11) - C:\Windows\SysWOW64\npDeployJava1.dll No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll No File
CHR Plugin: (iTunes Application Detector) - C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll No File
CHR Plugin: (Java(TM) Platform SE 7 U21) - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll No File
CHR Plugin: (Nokia Suite Enabler Plugin) - C:\Program Files (x86)\Nokia\Nokia Suite\npNokiaSuiteEnabler.dll No File
CHR Plugin: (QuickTime Plug-in 7.7.4) - C:\Program Files (x86)\Mozilla Firefox\plugins\npqtplugin.dll No File
CHR Plugin: (QuickTime Plug-in 7.7.4) - C:\Program Files (x86)\Mozilla Firefox\plugins\npqtplugin2.dll No File
CHR Plugin: (QuickTime Plug-in 7.7.4) - C:\Program Files (x86)\Mozilla Firefox\plugins\npqtplugin3.dll No File
CHR Plugin: (QuickTime Plug-in 7.7.4) - C:\Program Files (x86)\Mozilla Firefox\plugins\npqtplugin4.dll No File
CHR Plugin: (QuickTime Plug-in 7.7.4) - C:\Program Files (x86)\Mozilla Firefox\plugins\npqtplugin5.dll No File
CHR Plugin: (RealJukebox NS Plugin) - C:\Program Files (x86)\Mozilla Firefox\plugins\nprjplug.dll No File
CHR Plugin: (RealPlayer Download Plugin) - C:\Program Files (x86)\Mozilla Firefox\plugins\nprpplugin.dll No File
CHR Plugin: (BitCometAgent) - C:\Program Files (x86)\Mozilla Firefox\plugins\npBitCometAgent.dll No File
CHR Plugin: (RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit) ) - C:\Program Files (x86)\Mozilla Firefox\plugins\nppl3260.dll No File
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Nightly\firefox.exe
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll No File
HKU\S-1-5-21-2622835651-1712134509-2677869765-1005\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-2622835651-1712134509-2677869765-1005\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\S-1-5-21-2622835651-1712134509-2677869765-1005\...\Policies\Explorer: [NofolderOptions] 0
HKU\S-1-5-21-2622835651-1712134509-2677869765-1005\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-2622835651-1712134509-2677869765-1005\...\Run: [Polar Sync] => :\program files\polar\polar sync\
HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\...\Policies\Explorer: [NofolderOptions] 0
HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\...\Policies\Explorer: [CDRAutoRun] 1
HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\...\Policies\Explorer: [NoDrives] 0x00000000
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" /s
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Daj logi tylko z OTL nowe.

[CrashJack]

OTL.TXT
Dostępne tylko dla zarejestrowanych użytkowników

dalej są dwa te procesy

te końcowe wpisy mnie nie pokoją

Kod: Zaznacz cały

[color=#E56717]========== Files - Unicode (All) ==========[/color]
[2014/09/15 21:37:41 | 000,000,448 | -H-- | M] ()(C:\Users\Spid3r\AppData\Roaming\????) -- C:\Users\Spid3r\AppData\Roaming\麽鎒駓覜
[2014/09/15 21:37:41 | 000,000,448 | -H-- | C] ()(C:\Users\Spid3r\AppData\Roaming\????) -- C:\Users\Spid3r\AppData\Roaming\麽鎒駓覜

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:processes
killallprocesses

:OTL
[2014/09/15 21:37:41 | 000,000,448 | -H-- | M] ()(C:\Users\Spid3r\AppData\Roaming\????) -- C:\Users\Spid3r\AppData\Roaming\麽鎒駓覜
[2014/09/15 21:37:41 | 000,000,448 | -H-- | C] ()(C:\Users\Spid3r\AppData\Roaming\????) -- C:\Users\Spid3r\AppData\Roaming\麽鎒駓覜

:Commands
[purity]
[Reboot]

Klik w Wykonaj Skrypt.

2. W CMD z uprawnieniami admina komenda: sfc /scannow

[CrashJack]

no niestety nie pomogło, można by coś jeszcze zrobić prócz przeinstalowania systemu ?


i za co odpowiada komenda sfc /scannow
jakieś błędy były:
Dostępne tylko dla zarejestrowanych użytkowników

[XMan]

Zobacz jeszcze

Gruntowny scandisk - kliknij aby powiększyć:

Dostępne tylko dla zarejestrowanych użytkowników

PPM (prawym przyciskiem myszki) na dysk C --> Właściwości --> Narzędzia ->- Sprawdzanie błędów
--> Sprawdź
zaznacz wszystko tak jak na screenie --> Rozpocznij --> Tak.
Będzie restart komputera - czekaj do pojawienia się pulpitu...
Trwa b. długo, nie przerywaj.

[djarta]

2 explorery będziesz miał i u Ciebie jest to normalne.

[CrashJack]

2 explorery będziesz miał i u Ciebie jest to normalne.

dzięki, myślałem, że to jakiś trojan, mogliście od razu napisać
wcześniej nie zwracałem uwagi, że są te dwa procesy od początku ;p

[djarta]

FRST to potwierdza:
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed

Pliki są czyste (ich suma kontrola oraz wielkość jest odpowiednia dla oryginału na obecnym systemie) i nie została w żaden sposób modyfikowana (jak fabryka dała )

W logach jest czysto , tak więc przechodzimy do kroków końcowych.

Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes