Infekcja. System nie ładuje się do końca - dziwne procesy

system · 18 Luty 2013 09:40

Witam.

Mam obok siebie Netbooka Acer Aspire One D270.

Problem jest taki, ze po zalogowaniu się system nie chce się załadować do końca (jest kursor z klepsydrą tylko i niebieski lub czarny ekran). Można jedynie właczyć menadżer zadań, w którym w zakładce Procesy widnieje kilkadziesiąt procesów o nazwie userinit.exe.

To samo niestety się dzieje w Trybie Awaryjnym, Trybie Awaryjnym z obsługą sieci i działa jedynie z wierszem poleceń. Niestety nie wiem za bardzo jak w nim cokolwiek robić, w tym wykonać logi OTL.

Proszę o pomoc. Da się uniknąć formata?

Nadmienię, że komputer nie jest mój, dała mi go koleżanka bym popatrzył co się z nim dzieje gdyż ta jest zdecydowanie bardziej ciemna niż ja więc nie wiem co na nim jest zainstalowane i co było robione.

PS. Zgaduję, że trzeba będzie używać Pendrivea i przepinać go z zainfekowanego komputera do mojego,a chciałbym uniknąć infekcji na moim. Mam zainstalowanego, aktualnego KIS 2013 oraz wyłączony autostart dysków wymiennych, to wystarczy?

Acorus · 18 Luty 2013 10:09

Pobierz narzędzie OTL z poziomu innego komputera i zapisz na pendrive, wejdź w Tryb awaryjny z obsługą Wiersza polecenia, w linii komend wpisz X:\OTL.exe (gdzie X = litera pendrive) i ENTER, uruchomi się OTL i w nim opcja Skanuj, na pendrive powstaną logi.

system · 18 Luty 2013 10:45

Zrobione. Wygląda to tak

http://www.wklej.org/id/958951/

http://www.wklej.org/id/958952/

spandaupol · 18 Luty 2013 15:04

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html zapisz na pendrive

Uruchom go z wiersza polecenia, przez notatnik czyli uruchom wiersz polecenia wpisujesz notepad i enter W notatniku Plik - Otwórz - znajdź na pendrive plik systemlook.exe i uruchom go.

Wklej do niego

Klikasz Look pokaż log na forum

system · 18 Luty 2013 15:15

Dobrze zrobiłem?

http://www.wklej.org/id/959145/

spandaupol · 18 Luty 2013 15:50

Tak dobrze zrobiłeś teraz po kolei: masz całkiem pusty klucz który będziemy odtwarzać.

Wklej do notatnika

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] “!Do not use this registry key”=“Use the SHGetFolderPath or SHGetKnownFolderPath function instead” “AppData”=“C:\Users\Paulina\AppData\Roaming” “Local AppData”=“C:\Users\Paulina\AppData\Local” “My Video”=“C:\Users\Paulina\Videos” “{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Libraries” “My Pictures”=“C:\Users\Paulina\Pictures” “Desktop”=“C:\Users\Paulina\Desktop” “History”=“C:\Users\Paulina\AppData\Local\Microsoft\Windows\History” “NetHood”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Network Shortcuts” “{56784854-C6CB-462B-8169-88E350ACB882}”=“C:\Users\Paulina\Contacts” “Cookies”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Cookies” “Favorites”=“C:\Users\Paulina\Favorites” “SendTo”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\SendTo” “Start Menu”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu” “My Music”=“C:\Users\Paulina\Music” “Programs”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs” “Recent”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Recent” “CD Burning”=“C:\Users\Paulina\AppData\Local\Microsoft\Windows\Burn\Burn” “PrintHood”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Printer Shortcuts” “{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}”=“C:\Users\Paulina\Searches” “{374DE290-123F-4565-9164-39C4925E467B}”=“C:\Users\Paulina\Downloads” “{A520A1A4-1780-4FF6-BD18-167343C5AF16}”=“C:\Users\Paulina\AppData\LocalLow” “Startup”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup” “Administrative Tools”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools” “Personal”=“C:\Users\Paulina\Documents” “{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}”=“C:\Users\Paulina\Links” “Cache”=“C:\Users\Paulina\AppData\Local\Microsoft\Windows\Temporary Internet Files” “Templates”=“C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Templates” “{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}”=“C:\Users\Paulina\Saved Games” “Fonts”=“C:\Windows\Fonts” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=“explorer.exe”

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg Zapisz plik na pendrive

Uruchom wiersz polecenia wpisujesz notatnik Przez notatnik znajdź plik fix.reg klikasz na niego prawym przyciskiem myszy, z menu wybierasz Scal Restart komputera i zobacz czy się uruchomi.

system · 18 Luty 2013 16:02

Postąpiłem jak kazałeś i system uruchomił się normalnie.

Z tym, że po zalogowaniu wyskakują takie komunikaty:

http://i46.tinypic.com/2w521cw.jpg

W jaki sposób stało się ta “awaria” stała?

spandaupol · 18 Luty 2013 16:07

Co do okna przywracania systemu widać w Twoim pierwszym raporcie OTL że jest uruchomione, czy ktoś nie próbował tego zrobić z wiersza polecenia?

oraz

Uruchom OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum

Dodatkowo proszę o raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr … 13208.html Po zakończony skanie zapisz raport spakuj plik i wrzuć na jakiś hosting. Link do niego podajesz tutaj.

system · 18 Luty 2013 16:31

Znajoma od której to komputer mówiła, ze próbował go naprawić “sąsiad informatyk” więc możliwe, że on to próbował robić. Ja tego nie czyniłem an bank.

OTL:

http://www.wklej.org/id/959216/

Autorun:

http://www.sendspace.pl/file/c81d524bf4f5fdd6d400355

spandaupol · 18 Luty 2013 16:49

Nie widzę tego w nowym raporcie OTL ani autoruns.

Uruchom Autoruns przejdź do zakładki Logon na próbę odhacz (nie usuwaj)

Zrestartuj komputer i zobacz czy po restarcie nadal pojawia się okno i czy komputer poprawnie się uruchamia.

system · 18 Luty 2013 17:01

Czysto i uruchamia się tak jak należy. To wszystko?

Czym był ten cały problem? bo chyba nie jakąś infekcją?

spandaupol · 18 Luty 2013 17:11

Właściwie oprogramowanie wygląda na aktualne. Skype jest w nowszej wersji do pobrania. Normalnie sugerujemy sprawdzenie stanu oprogramowania zabezpieczającego przez Securitycheck analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3080641

Pusty klucz rejestru

oraz brak

Może to być wynikiem infekcji ale w raporcie OTL jej nie widać. Skoro jednak ktoś się tym zajmował to może usunął. W niektórych jednak przypadkach usunięcie plików infekcji nie wystarczy trzeba jeszcze przeprowadzić naprawę na poziomie rejestru windows. Dla pewności przeskanuj system antywirusem który jest zainstalowany. To chyba wszystko.

system · 18 Luty 2013 18:01

Zapomniała dać mi modem a moim kablem coś się nie mogę połączyć tam z netem więc nie zaktualizuję tego antywirusa. Powiem jej by sobie przeskanowała wszystko.

Jeśli w OTL nie widać infekcji to miejmy nadzieję, że jest czysty.

Dziękuję bardzo za pomoc