WIndows XP עולה רק ע"י הפעלת Explorer.EXE

אני נלחם יומיים במחשב שהגיע אליי אחרי שהצעתי לעזור באתגר להציל מחשב מבלי לפרמט (פורמט זה לחלשים).

השתמש בו ילד שהוריד מלא דברים בEMULE וכל המחשב מלא בוירוסים. המחשב לא עלה, היה ב LOOP של אתחולים וכדומה.

משהו נוראי שטרם נתקלתי בו בכמות הבעיות (התרעות וירוסים, LOP של אתחולים,SAFE MODE שנתקע אחרי ה BOOT וGUI שלא עולה, בקיצור לא נעים.

אחרי שניקיתי את כולו ע"י שימוש בתוכנה של הסטארטאפ הישראלי REIMAGE והחלפת קבצי המערכת במקוריים, נשארה הבעייה הבאה:

WIndows XP PRO SP3 32bit עולה אבל אחרי ה "ברוך הבא" וטעינת ה-GUI, אני רק רואה את ה-WALLPAPER והאייקונים וה SHELL בעצם לא עולה.

הכל סבבה אם אני לוחץ ALT+CTRL+DELETE ומפעיל ידנית EXPLORER.EXE ואז עולה ה-GUI והכל נגיד וסבבה.

הרגע הרצתי סריקה ONLINE של ESET NOD32 והוא מצא מיליון וירוסים וניקה את כולם. הבעייה היא שאני עם אותה בעייה.

רעיונות חבר'ה ? מה יכול לתקוע את ה EXPLORER? (לא מדובר ב IEXPLORE שזה הדפדפן של מיקרוסופט).

לא חושב שאני אהיה לעזר לעת עתה- אבל... למה אתה פשוט לא מפרמט אותו?

כשאני רואה מערכת הפעלה במצב כזה אנוש הדבר הראשון והיחיד שעולה לי לראש זה לפרמט

תתבייש לך אלכס

http://tinyurl.com/38m9rfd

1. בתור התחלה הייתי מסיר כל תוכנת אבטחה שקיימת במערכת הנוכחית (אם בכלל) ומוחק (ממש מוחק מה-Registry) כל אזכור למזיק שעולה ב-Startup.

2. בשלב השני הייתי משתמש ב-SDfix ו/או Combofix ו-Hijackthis, אם כמובן עדיין לא השתשמת בהן.

לאחר מכן ובהתאם למצב שיתגלה לאחר השימוש בכלים הנ"ל, כדי לטפל יותר נקודתית בתחום ה-Spayware הייתי מריץ סריקה עם Malwarebytes Antimalware.

3. עכשיו הייתי בודק עם ה-GUI עולה. אם כן הייתי מריץ עוד כמה סריקות (עם כלי Online או כלים מקומיים כגון Avira Antivir, AVAST, MSE) כדי לנסות לוודא שהכל הוסר (עד כמה שאפשר).

4. אם לאחר כל זה ה-GUI עדיין לא עולה הייתי בודק ב-Local security policy או ב-Group Policy אם אחד המזיקים אל שינה שם איזו הגדרה.

4. בסיום, ובתקווה שכל הבעיות בהן ניתן להבחין נפתרו, הייתי מבצע התקנת תיקון של המערכת.

1. תודה לכולם

2. הבעייה נפתרה ע"י:

א. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

new>string>Shell>explorer.exe

ב. סריקה עם MalwareBytes הנהדר שהוריד עוד 7 וירוסים כאשר אחד מהם היה באותו המפתח מסעיף א. הטרויאן שם נקרא Agent.Trojan.

תודה

סופ"ש נעים.

את האמת - שאני מכיר את זה כבר לא מעט זמן - ומשתמש בזה כדי להציק לאנשים (עוד מימי ה-WIN98 שם באמת היית יכול לעלות את PROGMAN)

http://hwzone.co.il/community/index.php?topic=474649.0

אבל אני לא הכרתי וירוס שעושה את זה...

גבי, אני מעלה את זה מהמחשב הנגוע (לשעבר) במיוחד בשבילך

[attachment deleted by admin]

יפה - זה ב-HKCU - מעניין אם היית נכנס במשתמש אחר ("דוחף" משתמש אדמיניסטרטיבי לתחנה) אם זה עדיין היה מציק - אבל נחמד מאוד.

קטן ומציק ביותר... אם הם היו מתכננים את הוירוס קצת יותר טוב - הם היו מבטלים גם את אופצית ה-RUN ומשנים את ה-ASSOCIATION לקבצי EXE (אבל בוא לי ניתן למתכנני הוירוסים רעיונות).

אני עדיין ממליץ להריץ בדיקה עם SDfix ואולי גם Combofix, לכל הפחות כדי לוודא סופית שאין מזיקים נוספים חבויים.

נתקלתי במזיק הזה יותר מפעם אחת, יש לו כנראה כמה וריאציות. נתקלתי בוריאציה עיקשת מאוד שלו שמונעת מה-Explorer לעלות, מבטלת את ה-Run וגם את הגישה למנהל המשימות. גם יצירת חשבון מנהל חדש לא ממש עוזרת.

אה, ובסיום, כשאני כבר בטוח (עד כמה שאפשר) שהמערכת נקייה ממזיקים הייתי שוקל בכל זאת התקנת תיקון (או לפחות הרצת sfc /scannow) כדי לתקן רכיבים שבורים ונעלמים שעוד עלולים לגרום לתקלות פונקציונאליות בעתיד.

וכמובן, הייתי מגדיר את חשבון המשתמש של הילד כחשבון בעל הרשאות מוגבלות מאוד (תלוי בגיל ועד כמה ניתן להגביל אותו באמת).

אני לא יכול לבטל לילד את הרשאות הפורנו, הוא לא ייסלח לי.

...

אה, ובסיום, כשאני כבר בטוח (עד כמה שאפשר) שהמערכת נקייה ממזיקים הייתי שוקל בכל זאת התקנת תיקון (או לפחות הרצת sfc /scannow) כדי לתקן רכיבים שבורים ונעלמים שעוד עלולים לגרום לתקלות פונקציונאליות בעתיד.

...

אין צורך, Reimage כבר עושה את זה לבד (אלכס הריץ את זה).

אגב זה המקרה היחיד שהמחשב היה כל כך מת ש-Reimage נאלצה להוריד מה-Repository שלהם 40% מקבצי מערכת ההפעלה מחדש במשך כמה שעות (הוירוסים חנקו את האינטרנט איכשהו ועל קו של 12 מגה זה הוריד על 50 KB לשנייה בלבד).

מה שכן, המחשב כרגע, פנטיום 4 עם 2GB RAM מריץ את XP יותר טוב מה WINDOWS 7 64 שלי על I7 920 עם 6GB RAM על SPINPOINT F3 . . .

ה-REIMAGE האלה מצויינים.

אגב חבר'ה, תדעו שהדבר הבא בסטארטאפים ישראליים הקשורים לעניינים טכניים כגון שלנו, זה SOLUTO. חבר'ה עם סטארטאפ מתל אביב שהמציאו תוכנה לניתוח תהליך ה-BOOT וזיהוי כל תוכנה שעולה םע המחשב כדי שתוכל להסיר אותה ולחסוך זמן BOOT במחשבים שעולים לאט. אחד מחברי הצוות אפילו עובד שלהם.

התוכנה אומרת מה עולה וכמה זמן בדיוק זה לוקח וכמה זמן אתם חוסכים כשאתם מורידים משהו ההפעלה וממליצה בעצמה מה בטוח ומה לא. עדיין BE$TA אבל מדהים.

תורידו ותנסו כל עוד הלינק פתוח (הם סוגרים אותו לפעמים לנסות גרסאות חדשות).

http://www.soluto.com/Download

..ה-REIMAGE האלה מצויינים.

בן דוד שלי 8)

אגב, פעם הבאה תריץ מה BootCD (מבוסס BartPE) כדי שתיהיה נטול וירוסים בזמן התיקון.

הרצתי, אבל החכמים האלה ביטלו תמיכה ב BOOT CD שהיה להם לפני שנה. הכתובת הזאת כבר מובילה לשום מקום

www.reimage.com\boot-cd

ומהתמיכה שלהם קיבלתי את התשובה הבאה:

למזלי שמרתי את ה BOOT CD הישן שלהם עם הלוגו של החברה ואני לא מהסס להשתמש בו.

נ.ב - דוד שלך ?

יש לי עדיין לינק פעיל ל BOOTCD אבל אני אמנע מלפרסם אותו.

בכל אופן אתה באמת יכול להשתמש ב Hiren's BOOT CD שכולל בתוכו Live Windows ומשם להריץ את ה Reimage.

וכן, Eyal Brill הוא בן-דוד שלי.

http://www.reimage.com/management.php