TPK
7 Luty 2013 21:26
#1
Witam,
Pierwszy post i z góry proszę o pomoc.
Problem w tym, ze biały ekran pojawia sie po uruchomieniu windy i nic nie da się potem zrobić. Zanim tu się zarejestrowałem powalczyłem.
Komp nie wchodzi w awaryjny, jedynie z wierszem poleceń. Podmiana w shellu explorera na iexplore.exe nic nie daje a co za tym idzie nie da się naprawić IE.
Poczyściłem z samostartujących płyt KAV, Eset, Acronis i nic
Uruchomiłem (udało się w awaryjnym z wierszem poleceń) Norman_Malware_Cleaner’a i trochę wyczyścił i trochę pomogło, bo już widać choćby tapetę i przez chwilę zawartość pulpitu ale po chwili … znowu biały ekran.
Walczę już kilkanaście a może kilkadziesiąt godzin i już się prawie poddałem, będąc bliski formatu (NIE
Proszę o pomoc, niestety nigdy jeszcze nie korzystałem z OTL’a i nie znam procedur naprawczych
Mam nadzieję, że log jest poprawnie wykonany:
http://wklej.org/id/950503/
pzdr
Darek
Atis
7 Luty 2013 21:41
#2
Nie widać w tym logu składników infekcji.
Pobierz OTL na pendrive:
analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741
Uruchom tryb awaryjny z wierszem polecenia.
W wierszu polecenia wpisz: X:\OTL.exe
X - podstawiasz literę którą oznaczony jest pendrive.
Nie znasz litery to użyj sposobu z notatnikiem.
W wierszu polecenia wpisz: notepad
W menu notatnika: Plik -> Otwórz
Pliki typu -> Wszystkie pliki
Teraz odszukaj OTL kliknij prawym i z menu kontekstowego wybierz Otwórz lub Uruchom jako…
http://wstaw.org/m/2012/12/23/2012-12-23_205834.png
TPK
8 Luty 2013 10:34
#3
Atis
8 Luty 2013 13:55
#4
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Disabled | Stopped] – C:\Program Files\Spybot – (SDWSCService) SRV - File not found [Disabled | Stopped] – C:\Program Files\Spybot – (SDUpdateService) SRV - File not found [Disabled | Stopped] – C:\Program Files\Spybot – (SDScannerService) SRV - File not found [Auto | Stopped] – C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe – (Harmonogram automatycznej usługi LiveUpdate) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\BatteryCare\WinRing0.sys – (WinRing0_1_2_0) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\usbser_lowerflt.sys – (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\TpChoice.sys – (TpChoice) DRV - File not found [Kernel | On_Demand | Stopped] – -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_juextctrl.sys – (huawei_ext_ctrl) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jubusenum.sys – (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jucdcecm.sys – (huawei_cdcecm) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jucdcacm.sys – (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_usbenumfilter.sys – (ew_usbenumfilter) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_hwusbdev.sys – (ew_hwusbdev) DRV - File not found [Kernel | Disabled | Stopped] – C:\Windows\system32\drivers\blbdrive.sys – (blbdrive)O4 - HKCU…\Run: [TRUCK & CARGO Online] c:\tccargo\tccargo.exe --autostart --noupdate File not found O4 - HKCU…\Run: [NokiaOviSuite2] C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray File not found O20 - HKCU Winlogon: Shell - (C:\Users\MAREK\AppData\Roaming\skype.dat) - C:\Users\MAREK\AppData\Roaming\skype.dat () O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found [2013-02-07 21:45:48 | 000,000,004 | ---- | M] () – C:\Users\MAREK\AppData\Roaming\skype.ini [2012-01-11 11:39:46 | 000,110,592 | -HS- | C] () – C:\Users\MAREK\AppData\Roaming\skype.dat :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Uruchom system w normalnym trybie i odinstaluj:
Winamp Toolbar for Firefox
My Global Search Bar
Spybot - Search & Destroy
MediaBar 2.0
Pobierz AdwCleaner
Zamknij przeglądarkę internetową.
Uruchom AdwCleaner i kliknij Usuń.
Pokaż nowy log z OTL.
TPK
8 Luty 2013 17:39
#5
dzieki,
pomoglo … na troche
moze jednak narozrabialem, bo chcialem lepiej / za szybko ?!
po kolei:
zrobilem zgodnie z zaleceniem i kompik zaczal smigac
ale
moze za szybko podpialem go do net’u? i …
chcialem polepszyc i po adwcleanerze zrobilem jeszcze czyszczenie ccleanerem, takze rejestry
odinstalowalem potem ccleanera i …
po kilku restartach pojawil sie ponownie tym razem czarny ekran [tez wczesniej sie pojawial] i nic dalej
przy probie wywolania managera zadan - komunikat: “Niepowodzenie - opcje zabezpieczen”
sorki za moja nadgorliwosc
log OTL z poziomu awaryjnego z wierszem:
najpierw pojawil sie:
http://wklej.org/id/951094/
a po ponownym uruchomieniu otl’a z wiersza polecen dal zrobic scana i efekt:
http://wklej.org/id/951097/
tez wole powalczyc do konca [format NIE!
Atis
8 Luty 2013 17:59
#6
Nie widać żadnej infekcji.
Następnym razem zanim zaczniesz czyścić rejestr wykonaj pełną kopię: RegBak
Normalny tryb awaryjny również nie działa?
W wierszu polecenia wpisz: rstrui.exe
Wybierz punkt przywracania przed wystąpieniem infekcji.
http://windows.microsoft.com/pl-PL/wind … and-prompt
TPK
8 Luty 2013 21:06
#7
no fakt - zapomnialem zrobic
bo mowiac szczerze nigdy mi sie nie przytrafilo, zeby ccleaner narozrabial w rejestrach
najczesciej czyscil po prostu jakies zalegle smieci i przyspieszal kompa
ale idac Twoim tokiem zrobilem rstrui ale “brak punktow przywracania”
wiec qpa ale mam backupy ccleanera, wiec przywrocilem w trybie awaryjnym “normalnym” [dzialal]
restart do trybu normalnego bez wchodzenia w internet i …
dlugie ladowanie po uruchomieniu pulpitu [dysk mieli - komp mysli i mysli] i …
coraz bardziej spowalnia [nie wyswietlaja sie wszystkie ikony w prawym dolnym pasku
pojawil sie tylko miernik baterii [przy checi zmiany trybu - brak odpowiedzi]
wszystko trwa kilka minut a system jeszcze sie calkowicie nie zaladowal, dysk wolniej ale dalej mieli
probuje wejsc do manadzera zadan i … dlugo czarny ekran, w koncu odpowiedz:
Niepowodzenie - opcje zabezpieczen [Proces logowania nie moze utworzyc okna dialogowego opcji zabezpieczen.]
Atis
8 Luty 2013 21:16
#8
TPK
8 Luty 2013 21:38
#9
komp zawiesil sie na czystym pulpicie [bez ikon]
wkonalem twardy reset i logo otl’a z awaryjnego z wierszem polecen:
OTL:
http://wklej.org/id/951343/
Extras:
http://wklej.org/id/951345/
prosze o dalsza pomoc
– Dodane 08.02.2013 (Pt) 22:39 –
odinstaluje jeszcze tego avasta ale jak juz wroce do domu
za godzinke
Atis
8 Luty 2013 22:09
#10
Jednak system nadal jest zainfekowany.
Pobierz i uruchom plik:
http://sendfile.pl/273352/FIX.bat
Po restarcie uruchom drugi plik:
http://sendfile.pl/273353/FIX1.bat
Pokaż nowy log z OTL
TPK
9 Luty 2013 01:15
#11
odinstalowany avast
fixy wykonane
OTL:
http://wklej.org/id/951468/
Extras:
http://wklej.org/id/951469/
komputer dziala i chyba jest OK ale …
sporo mielil dyskiem - wylaczylem indeksowanie
i potem zrobie porzadki z plikami
jesli jeszcze moge to mam pytania:
widzialem mnostwo tempow w bearshare - usunac ?
Ktorym programem wyczyscic rejestry ?
jakiego antyvira stosowac w wersji free ? [teraz kompik goly i nie podlaczylem jeszcze neta]
Czy zostawiac firewalla windowsowego czy tez innego i ktorego free ?
Czy jednak przeprosic sie z jakims “Internet Security” ?
Wiem, wiem - najlepiej platne
Co do antyvirow w przypadku “policyjnego” u mnie na kilku komputerach nie sprawdzily sie:
MSSE, Avira, NOD i AVAST, niestety nie mam Free Kasperskiego - bo pewnie bym uzyl
nie jestem tez zwolennikiem oprogramowania typu “Internet Security”, gdyz mocno spowalniaja system
czy powinienem zmienic zdanie?
co proponujecie?
ktory anty-vir w polaczeniu z win-firewwall’em ? lub ktory security ? [w wersjach free]
mysle, ze odpowiedz moze przydac sie rowniez innym userom windy
ATIS - bardzo dziekuje za rewelacyjna pomoc. SZACUN
– Dodane 09.02.2013 (So) 2:34 –
uuups
fixy zrobilem jeden po drugim bez restartu pomiedzy nimi
powtorzyc oddzielnie?
Atis
9 Luty 2013 01:40
#12
Płatne programy nie są skuteczniejsze od darmowych.
Tego “policyjnego” trojana od wielu miesięcy przepuszczają wszystkie programy antywirusowe.
Jeżeli chodzi o czyszczenie rejestru to przede wszystkim należy wykonać pełną kopię rejestru za pomocą RegBak.
Dobrze również utworzyć punkt przywracania:
Jak ręcznie utworzyć punkt przywracania?
Vit Registry Fix Free Edition
Pobierz plik:
http://sendfile.pl/273353/FIX1.bat
Kliknij prawym i wybierz Uruchom jako administrator.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM…\SearchScopes{6023F9D0-8816-540A-D4DB-388DE38EB125}: “URL” = http://www.mywebsearch.com/jsp/cfg_redi … searchfor={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Local Page Restore = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKLM…\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O4 - HKLM…\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui File not found O4 - HKCU…\Run: [TRUCK & CARGO Online] c:\tccargo\tccargo.exe --autostart --noupdate File not found O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) [2013-02-05 19:52:17 | 000,000,000 | —D | C] – C:\ProgramData\Spybot - Search & Destroy [2013-02-05 19:47:04 | 000,000,000 | —D | C] – C:\Users\MAREK\AppData\Roaming\LavasoftStatistics :Files rd /s /q C:$Recycle.Bin /c :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż ten raport.
TPK
9 Luty 2013 09:29
#13
myslalem, ze to juz wszystko
ok, fix wykonany ale raport budzi watpliwosci:
http://sendfile.pl/273442/FIX1a-error.jpg
wyczyscilem jeszcze resztki avasta
i wykonalem skrypt
Raport:
http://wklej.org/id/951536/
OTL:
http://wklej.org/id/951538/
Extras:
http://wklej.org/id/951540/
FSS:
http://wklej.org/id/951541/
czy “EXTRAS” wklejac z kazdego scanu czy tylko raz na poczatku ?
czy juz moge czyscic rejestr czy czekac na haslo ?
Atis
9 Luty 2013 11:04
#14
Jeżeli nie będzie działać gdy wpiszesz Y es to spróbuj wpisać T ak
Uruchom cmd.exe jako administrator:
Jak uruchomić polecenie z pełnymi uprawnieniami?
Wklej kolejno i zatwierdź enterem:
TAKEOWN /F C:$Recycle.Bin\S-1-5-18 /R /A
icacls C:$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
rd /s /q C:$Recycle.Bin\S-1-5-18
Pobierz i uruchom ESET ServicesRepair
Postępuj zgodnie z zaleceniami programu.
Po restarcie utwórz nowy raport z Farbar Service Scanner.
TPK
9 Luty 2013 11:45
#15
Atis
9 Luty 2013 12:12
#16
Nic nie zostało naprawione.
Zapisz ESET ServicesRepair na partycji systemowej.
Później kliknij prawym i wybierz Uruchom jako administrator.
Pokaż nowy raport z Farbar Service Scanner.
TPK
9 Luty 2013 12:36
#17
Atis
9 Luty 2013 13:13
#18
Odinstaluj Java 6 Update 23 i Java 6 Update 20.
Zainstaluj Java 7 Update 13 i Internet Explorer 9
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
http://windows.microsoft.com/pl-PL/wind … tore-point
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
TPK
11 Luty 2013 12:32
#19
SMIGA
Jeszcze raz ATIS dziekuje za pomoc
