Po zalogowaniu moje dok. zamiast explorer DDS + OTL

[djtomekk]

Sprzęt:
Laptop SAMSUNG RF711 - komputer sąsiada, który nie bardzo zna się na komputerach hardware/software, pomagam jako bardziej "doświadczony" sąsiad

Problem:
Po zalogowaniu się, pojawia się czarny ekran i wyskakuje okienko moje dokumenty

Problemy z komputerem zaczęły się jakieś 2 tyg. temu od wirusa win 7 security 2012 blokował cały komputer, udało mi się wyłączyć wszystkie procesy w Konfiguracja systemu=>uruchamianie. Komp od tego czasu był sprawny jednak z braku czasu nie udało mi się usunąć wirusa całkowicie (pliki + rejestr). W międzyczasie inny znajomy "coś" zrobił i podobno usunął wirusa - nie wiem co dokładnie zrobił.
Tydzień później komputer został wyłączony i po ponownym uruchomieniu pojawiał się czarny ekran i winlogon prosił o akceptację instalacji (ze sciezki c:/users/dawid/dokumenty/winlogon.exe). Z tego co wyczytałem, to najprawdopodobniej był to wirus i plik usunąłem. Teraz po włączeniu pojawia się tylko czarny ekran i otwiera folder moje dokumenty. Explorer.exe odpalam poprzez manager zadań=>uruchom.

Co został zrobione:
Wg google i wielu instrukcji zamieszczonych w necie system został przeskanowany programami antywirusowymi:
-Malwarebytes Anti-Malware, raporty:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

-MS Security Essentials
znalazł problemy:
Rogue:Win32/FakeRean (4 krotnie)
PWS:Win32/Karagany.A
VirTool:Win32/Obfuscator.VC

-arcavirmicroscan
nic nie wykrył

Malwarebytes i arcavir miały rozwiązać ten problem, ale niestety tak się nie stało.

Plik explorer.exe istnieje i wpis w rejestrze nie jest uszkodzony. Sprawdzone wg: http://www.hotfix.pl/brak-ikon-na-pulpi ... --a104.htm

Tu moje koncepcje i wiedza się kończą i zaczynają logi

OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

DDS:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Mam nadzieję, że wszystko w miarę jasno opisałem, i że temat jest we właściwym dziale.
Za wszelką pomoc będę bardzo wdzięczny <piwo>

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-304874434-1306992668-2770245847-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

:Files
C:\Users\dawid\AppData\Roaming\81732b53
C:\Users\dawid\AppData\Local\7f85ba18
C:\ProgramData\64dff5d0

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Raport z usuwania pokaż.

[djtomekk]

@djarta Wielkie dzięki, przesyłam raport:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Wklej nowy log OTL.

[djtomekk]

Logi:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

@djarta - po raz kolejny dzięki

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
[2012/02/06 17:53:36 | 000,008,719 | ---- | M] () -- C:\Users\dawid\AppData\Roaming\81732b53
[2012/02/06 17:53:36 | 000,008,662 | ---- | M] () -- C:\Users\dawid\AppData\Local\7f85ba18
[2012/02/06 17:53:36 | 000,008,622 | ---- | M] () -- C:\ProgramData\64dff5d0
O20 - HKU\S-1-5-21-304874434-1306992668-2770245847-1001 Winlogon: Shell - ("C:\Users\dawid\winlogon.exe") - File not found

Klik w Wykonaj Skrypt. Po chwili wyskoczy notatnik - wklej mi jego zawartość.

[ewciatom@o2.pl]

mam ten sam problem;/
robilam jak wczesniej radziles poprzednikowi ale nie wiem co dalej...
pomozesz?<prosi>

[greh]

mam ten sam problem;/
robilam jak wczesniej radziles poprzednikowi ale nie wiem co dalej...

Nie wskazane jest stosowanie skryptów przeznaczonych dla kogoś innego.
Załóż nowy temat w dziale bezpieczeństwo, a następnie wykonaj to:

• Pobierz OTL z tego linku:
  - Dostępne tylko dla zarejestrowanych użytkowników
  
• Uruchom narzędzie dwuklikiem i ustaw jak na tym obrazku: Dostępne tylko dla zarejestrowanych użytkowników
• Uruchom skan przyciskiem Skanuj/Scan.
• Po zakończonym skanie wklej obydwa raporty na jedną z tych stron: Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników lub Dostępne tylko dla zarejestrowanych użytkowników,
  a tutaj wstaw linki do obydwu wklejek.

Czekamy.

[djtomekk]

wykonany skrypt:

========== OTL ==========
C:\Users\dawid\AppData\Roaming\81732b53 moved successfully.
C:\Users\dawid\AppData\Local\7f85ba18 moved successfully.
C:\ProgramData\64dff5d0 moved successfully.
Registry value HKEY_USERS\S-1-5-21-304874434-1306992668-2770245847-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:"C:\Users\dawid\winlogon.exe" deleted successfully.

OTL by OldTimer - Version 3.2.31.0 log created on 03132012_144147

jeszcze raz dzięki za pomoc i cierpliwość

[djarta]

Usunięte.
W OTL wciśnij Sprzątanie.

[djtomekk]

Zrobione. Wielkie, wielkie dzięki djarta! Laptop tańczy, śmiga, gra i buczy. Jesteś magikiem

PS: gdzie się tego wszystkiego nauczyłeś? Uczą tego na studiach, czy sam jakoś hobbystycznie się dokształcasz?

Jeszcze raz wielkie dzięki! SZACUN i <piwo> !

[djarta]

Hobby.
Mam 15 lat.
Zamykam.