Twój_Anioł_Stróż komentarz 27 stycznia 2020 komentarz 27 stycznia 2020 Sadząc po "fixlogu", to usuwanie się udało, ale w nowych logach dalej jest to, co było przed usuwaniem, więc: Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe, <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW. Niestety nic się nie zmieniło, Ale teraz przynajmniej wiesz, że to nie wina infekcji. Wg mnie winny jest użyty ComboFix. .
Radek:) komentarz 27 stycznia 2020 komentarz 27 stycznia 2020 Hmmm i co teraz? :) Restart systemu? Aktualne pliki w zał. Addition.txt Fixlog.txt FRST.txt
Twój_Anioł_Stróż komentarz 27 stycznia 2020 komentarz 27 stycznia 2020 (edytowane) Cytuj ==================== Punkty Przywracania systemu ========================= 27-01-2020 21:48:33 ComboFix created restore point Zrób zwykłe "Przywracanie Systemu" do tego punktu przywracania. Potem zrób nowe logi FRST. Cytuj ==================== SigCheck ============================ (Brak automatycznej naprawy dla plików które nie przeszły weryfikacji.) C:\Windows\system32\userinit.exe BRAK <==== UWAGA Dodatkowo: .Uruchom FRST. W polu SEARCH (SZUKAJ) wklej:userinit.exe kliknij na przycisk "Search Files (Szukaj Plików)". Raport z tego będzie tam, gdzie jest FRST. Edytowane 27 stycznia 2020 przez Twój_Anioł_Stróż
Radek:) komentarz 27 stycznia 2020 komentarz 27 stycznia 2020 OK przywróciłem do tego punku co utworzył combofix, pozatym kopii zapasowych nie miałem, bym na pewno użył wcześniej Search.txt Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 27 stycznia 2020 komentarz 27 stycznia 2020 Z wyszukiwania wynika, że nie masz w ogóle pliku systemowego "userinit.exe". Załóż temat w dziale https://www.forumpc.pl/forum/164-windows-7/ może tam znajdzie się ktoś, kto Ci w tym pomoże? Natomiast w logach nie ma niczego, co by wskazywało na problem z "explorer.exe" - a więc z tym jest wszystko OK.
Radek:) komentarz 28 stycznia 2020 komentarz 28 stycznia 2020 Działa! Ściągnąłem plik userinit.exe z tej strony https://www.exefiles.com/pl/exe/userinit-exe/ Dzięki wielkie za pomoc!
adenet komentarz 8 lutego 2020 komentarz 8 lutego 2020 (edytowane) Witam serdecznie, Niestety po zalogowaniu się nie włacza mi się EXPLORER.exe. Nawet dodaje go do autostartu - lecz bezskutecznie. Jest czarny ekran, mogę manualnie wlaczyc explorer i dziala - lecz po wylogowaniu i ponownym logowaniu jest czarny ekran. Bardzo proszę o pomoc Addition_08-02-2020 21.41.27.txt FRST_08-02-2020 21.41.27.txt Edytowane 8 lutego 2020 przez adenet
UnnamedPlayer komentarz 8 lutego 2020 komentarz 8 lutego 2020 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się notatnik - wklej do niego: Cytuj HKLM\...\Winlogon: [Userinit] "C:\Program Files\AADServer\aadinit.exe" <==== UWAGA HKU\S-1-5-21-1267153565-57073445-249517817-1001\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-1267153565-57073445-249517817-1001\...\Policies\Explorer: [RestrictCPL] 0 HKU\S-1-5-21-1267153565-57073445-249517817-1001\...\Policies\Explorer: [NoBalloonFeatureAdvertisements] 1 HKU\S-1-5-21-1267153565-57073445-249517817-1001\...\Policies\Explorer: [DisableNotificationCenter] 1 HKU\S-1-5-18\...\Policies\Explorer: [DisableNotificationCenter] 1 Startup: C:\Users\Kancelaria Żywicka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.bat [2020-02-08] () [Brak podpisu cyfrowego] <==== UWAGA Task: {8DC8E2AA-1785-4BEB-8B0D-A673CED6EE60} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\explorer.exe /NOUACCHECK HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1267153565-57073445-249517817-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js [2019-11-30] <==== UWAGA (Linkuje do pliku *.cfg) FF ExtraCheck: C:\Program Files\mozilla firefox\bd_config.cfg [2019-11-30] <==== UWAGA S2 ipc_tserver; "C:\Program Files\AADServer\aadTserver_00001.exe" [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowe logi
Serious DAmian komentarz 22 marca 2020 komentarz 22 marca 2020 Witam, Z góry przepraszam za któreś już z kolei odświeżanie tematu, ale przychodzę z podobnym i częściowo naprawionym problem, gdzie właśnie boję się, że coś może mi w komputerze dalej siedzieć (malwarebytes nic nie wykrył) otóż chciałem jedną piracko gierkę sprawdzić, po zainstalowaniu i uruchomieniu wyświetliła się informacja, że potrzebne było aktualizowanie sterowników grafiki do najnowszych. Zrobiłem to bezpośrednio przez stronę nvidii. Sterowniki zainstalowane, uruchamiam od razu komputer ponownie i wtedy po logowaniu do systemu działo się to co wyżej w postach. Czarny ekran, okienko cmd, a w nim: C:\Windows\system32>, proces explorer.exe dał się uruchomić normalnie ręcznie przez menedżera i wszystko dalej hulało, w rejestrze, już patrząc po innych stronach, poprawiłem to, co w załączonym zdjęciu, po tym zabiegu już nie było problemu z explorer.exe, po logowaniu systemu. Lecz jeszcze niepokoi mnie jedna rzecz... Po próbie odpalenia wiersza poleceń, przez ułamek sekundy pojawia się normalne/standardowe wielkością okno, z klasycznym tekstem Microsoft windows.... Wszelkie prawa zastrzeżone itd. itp. po czym znika i jest malutkie okienko jak w załączniku :v Nie wygląda mi to naturalnie, dlatego mnie to niepokoi. Nie wiem czy to istotne, ale wole dodać tylko tyle, że też po tej akcji ze sterownikami i restarcie kompa w zasadzie zniknął z komputera panel kontrolny nvidii i nvidia experience, to drugie już zainstalowało się w zasadzie bez problemu, ale panelu nie idzie ze strony ms zainstalować, ale to już raczej problem ich sklepu :x Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 23 marca 2020 komentarz 23 marca 2020 (edytowane) Nie wszystko zostało usunięte - zostało jeszcze w Autostarcie FirewallModule.exe, które z kolei uruchamia okienko "cmd". Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj HKU\S-1-5-21-1089155498-4181520303-1345159332-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq FirewallModule.exe" 2>NUL | find /I /N "FirewallModule.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-1089155498-4181520303-1345159332-1001\...\Run: [GalaxyClient] => [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} HKU\S-1-5-21-1089155498-4181520303-1345159332-1001\...\Winlogon: [Shell] C:\Windows\explorer.exe [4353016 2019-09-10] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA HKU\S-1-5-21-1089155498-4181520303-1345159332-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.global-pl.com/ SearchScopes: HKU\S-1-5-21-1089155498-4181520303-1345159332-1001 -> DefaultScope {DDD7B285-A325-455A-8AA2-1ADD2EBF19EC} URL = hxxp://www.global-pl.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-1089155498-4181520303-1345159332-1001 -> {DDD7B285-A325-455A-8AA2-1ADD2EBF19EC} URL = hxxp://www.global-pl.com/search?q={searchTerms} Edge HomeButtonPage: HKU\S-1-5-21-1089155498-4181520303-1345159332-1001 -> hxxp://www.global-pl.com/ C:\Users\Damian\Desktop\cnpqyhoubjniwalofj.txt C:\Users\Damian\Desktop\FRST-OlderVersion ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku FirewallRules: [TCP Query User{A36E77C5-2721-403E-8D6D-853DB01B3188}C:\program files (x86)\common files\oracle\java\javapath_target_6653968\java.exe] => (Allow) C:\program files (x86)\common files\oracle\java\javapath_target_6653968\java.exe Brak pliku FirewallRules: [UDP Query User{549E8E31-A944-433D-97F9-42CC9F26ED7B}C:\program files (x86)\common files\oracle\java\javapath_target_6653968\java.exe] => (Allow) C:\program files (x86)\common files\oracle\java\javapath_target_6653968\java.exe Brak pliku FirewallRules: [TCP Query User{288661EA-5EDB-4831-A402-AA07AABB2924}C:\program files\java\jre1.8.0_221\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_221\bin\javaw.exe Brak pliku FirewallRules: [UDP Query User{4165AF34-CA15-4B66-B778-BE032074A8BC}C:\program files\java\jre1.8.0_221\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_221\bin\javaw.exe Brak pliku EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). . Edytowane 23 marca 2020 przez Twój_Anioł_Stróż
Serious DAmian komentarz 23 marca 2020 komentarz 23 marca 2020 Zrobiłem, przesyłam fixlog. Fixlog.txt
Twój_Anioł_Stróż komentarz 23 marca 2020 komentarz 23 marca 2020 OK, wykonane. Mam nadzieję, że problem znikł. .
6droxan6 komentarz 21 kwietnia 2020 komentarz 21 kwietnia 2020 Witam Mam problem, że nie uruchamia mi się czasami Explorer.exe Addition.txt FRST.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 22 kwietnia 2020 komentarz 22 kwietnia 2020 (edytowane) @ 6droxan6 Nie masz żadnej infekcji, więc najprawdopodobniej jest to wina aktualizacji Systemu. Zrób zwykłe "Przywracanie Systemu" do najstarszego punktu przywracania: Cytuj 18-04-2020 18:48:48 Zainstalowany program DirectX o ile wtedy nie było jeszcze tego problemu. Potem tylko kosmetyka: Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj C:\WINDOWS\Minidump\*.dmp Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Voicemod Desktop\Voicemod.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.10.18.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteFence Anti-Malware\ByteFence Anti-Malware.lnk RemoveDirectory: C:\Program Files\ByteFence EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). . Edytowane 22 kwietnia 2020 przez Twój_Anioł_Stróż
Albert05 komentarz 3 czerwca 2020 komentarz 3 czerwca 2020 Dzień dobry Mam niestety ten sam problem co poprzednicy, explorer mi się nie uruchamia przy starcie systemu, bardzo bym prosił o pomoc. FRST.txt Addition.txt
Twój_Anioł_Stróż komentarz 4 czerwca 2020 komentarz 4 czerwca 2020 (edytowane) ---------------@Albert05 Jest infekcja SOUNDMODULE! Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj HKU\S-1-5-21-2295436840-3936193865-1373846767-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-2295436840-3936193865-1373846767-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA S1 UimBus; \SystemRoot\System32\drivers\uimbus.sys [X] S1 Uim_DEVIM; \SystemRoot\System32\drivers\uimdevim.sys [X] C:\Users\ja\Downloads\fixlist.txt C:\Users\ja\FIX.REG Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Napisz, czy problem znikł? ----------------------------- Cytuj AV: Avast Antivirus (Disabled - Out of date) {EB19B86E-3998-C706-90EF-92B41EB091AF} Do usuwania Avasta służy Avast Uninstall Utility - http://www.avast.com/uninstall-utility Edytowane 4 czerwca 2020 przez Twój_Anioł_Stróż
Albert05 komentarz 4 czerwca 2020 komentarz 4 czerwca 2020 Dziękuję Ci bardzo Twój_Anioł_Stróż teraz wszystko jest ok :).
Szib komentarz 24 czerwca 2020 komentarz 24 czerwca 2020 Witam Mam podobny problem. Nie uruchamia się Explorer.exe. Proszę o pomoc Podaję logi z FRST FRST.txt Addition.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 24 czerwca 2020 komentarz 24 czerwca 2020 @Szib Nie masz żadnej infekcji, więc Twój problem nie jest podobny. Prawdopodobne Twój System jest prawie całkowicie zniszczony.
Szib komentarz 25 czerwca 2020 komentarz 25 czerwca 2020 15 godzin temu, Twój_Anioł_Stróż napisał: @Szib Nie masz żadnej infekcji, więc Twój problem nie jest podobny. Prawdopodobne Twój System jest prawie całkowicie zniszczony. Całkowicie zniszczony ???????? od czego?
Twój_Anioł_Stróż komentarz 25 czerwca 2020 komentarz 25 czerwca 2020 Cytuj od czego? Są trzy możliwe przyczyny: 1) od kilku miesięcy Microsoft daje aktualizacje, które dla niektórych komputerów są tragiczne 2) Kaspersky - mocno ingeruje w System 3) Sandboxie - widać jego efekty w Twoich logach Nie wiem, które z nich spowodowało u Ciebie problemy. Sprawdzimy najprostszą przyczynę, czyli jakieś zmiany w kluczu Rejestru: Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /s Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Pokaż wynik z tego. .
Twój_Anioł_Stróż komentarz 25 czerwca 2020 komentarz 25 czerwca 2020 Cytuj HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell REG_SZ explorer.exe W kluczu jest wszystko OK. Nie ma żadnej blokady "explorer.exe". Dziwne, że widzisz jakiś problem, (chyba, że karta graficzna "wysiada"?) Tal, czy siak - ja nie jestem w stanie Ci pomóc.
Szib komentarz 26 czerwca 2020 komentarz 26 czerwca 2020 (edytowane) W trybie czystego rozruchu uruchomił się bez czarnego ekranu (explorer działa), ale nie można ustawić uruchamiania normalnego - nie można włączyć usługi - Kaspersky Volume Shadow Copy Service Bridge 20.0. Nie wiem czy to ma znaczenie. Przy normalnym starcie systemu pokazuje się na chwilę czarne okno. To ono coś miesza. Po pokazaniu się okna systemu się dłużej zamyka i loguje się dłużej . Po czym nie działa explorer. Jak sprawdzić czy coś przy starcie się uruchamia? Podczas testowania w trybie awaryjnym pokazało się jakieś okno z kolorową ikoną po czym system zatrzymał się na błędzie ramu na płycie głównej (pomarańczowa dioda). Macie jakieś przemyślenia ? Edytowane 26 czerwca 2020 przez Szib
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.