Biały ekran - chyba wirus policyjny, nie daję rady :(

TPK · 2013-02-07 21:26:31 UTC

Witam,

Pierwszy post i z góry proszę o pomoc.

Problem w tym, ze biały ekran pojawia sie po uruchomieniu windy i nic nie da się potem zrobić. Zanim tu się zarejestrowałem powalczyłem.

Komp nie wchodzi w awaryjny, jedynie z wierszem poleceń. Podmiana w shellu explorera na iexplore.exe nic nie daje a co za tym idzie nie da się naprawić IE.

Poczyściłem z samostartujących płyt KAV, Eset, Acronis i nic

Uruchomiłem (udało się w awaryjnym z wierszem poleceń) Norman_Malware_Cleaner’a i trochę wyczyścił i trochę pomogło, bo już widać choćby tapetę i przez chwilę zawartość pulpitu ale po chwili … znowu biały ekran.

Walczę już kilkanaście a może kilkadziesiąt godzin i już się prawie poddałem, będąc bliski formatu (NIE

Proszę o pomoc, niestety nigdy jeszcze nie korzystałem z OTL’a i nie znam procedur naprawczych

Mam nadzieję, że log jest poprawnie wykonany:

http://wklej.org/id/950503/

pzdr

Darek

Atis · 2013-02-07 21:41:51 UTC

Nie widać w tym logu składników infekcji.

Pobierz OTL na pendrive:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

Uruchom tryb awaryjny z wierszem polecenia.

W wierszu polecenia wpisz: X:\OTL.exe

X - podstawiasz literę którą oznaczony jest pendrive.

Nie znasz litery to użyj sposobu z notatnikiem.

W wierszu polecenia wpisz: notepad
W menu notatnika: Plik -> Otwórz
Pliki typu -> Wszystkie pliki
Teraz odszukaj OTL kliknij prawym i z menu kontekstowego wybierz Otwórz lub Uruchom jako…

http://wstaw.org/m/2012/12/23/2012-12-23_205834.png

TPK · 2013-02-08 10:34:21 UTC

witam

OTL:

http://wklej.org/id/950731/

extras:

http://wklej.org/id/950733/

z góry dzięki

Atis · 2013-02-08 13:55:45 UTC

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - File not found [Disabled | Stopped] – C:\Program Files\Spybot – (SDWSCService) SRV - File not found [Disabled | Stopped] – C:\Program Files\Spybot – (SDUpdateService) SRV - File not found [Disabled | Stopped] – C:\Program Files\Spybot – (SDScannerService) SRV - File not found [Auto | Stopped] – C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe – (Harmonogram automatycznej usługi LiveUpdate) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\BatteryCare\WinRing0.sys – (WinRing0_1_2_0) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\usbser_lowerflt.sys – (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\TpChoice.sys – (TpChoice) DRV - File not found [Kernel | On_Demand | Stopped] – -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_juextctrl.sys – (huawei_ext_ctrl) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jubusenum.sys – (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jucdcecm.sys – (huawei_cdcecm) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jucdcacm.sys – (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_usbenumfilter.sys – (ew_usbenumfilter) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_hwusbdev.sys – (ew_hwusbdev) DRV - File not found [Kernel | Disabled | Stopped] – C:\Windows\system32\drivers\blbdrive.sys – (blbdrive)O4 - HKCU…\Run: [TRUCK & CARGO Online] c:\tccargo\tccargo.exe --autostart --noupdate File not found O4 - HKCU…\Run: [NokiaOviSuite2] C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray File not found O20 - HKCU Winlogon: Shell - (C:\Users\MAREK\AppData\Roaming\skype.dat) - C:\Users\MAREK\AppData\Roaming\skype.dat () O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found [2013-02-07 21:45:48 | 000,000,004 | ---- | M] () – C:\Users\MAREK\AppData\Roaming\skype.ini [2012-01-11 11:39:46 | 000,110,592 | -HS- | C] () – C:\Users\MAREK\AppData\Roaming\skype.dat :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom system w normalnym trybie i odinstaluj:

Winamp Toolbar for Firefox

My Global Search Bar

Spybot - Search & Destroy

MediaBar 2.0

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

Pokaż nowy log z OTL.

TPK · 2013-02-08 17:39:08 UTC

dzieki,

pomoglo … na troche

moze jednak narozrabialem, bo chcialem lepiej / za szybko ?!

po kolei:

zrobilem zgodnie z zaleceniem i kompik zaczal smigac

ale

moze za szybko podpialem go do net’u? i …

chcialem polepszyc i po adwcleanerze zrobilem jeszcze czyszczenie ccleanerem, takze rejestry

odinstalowalem potem ccleanera i …

po kilku restartach pojawil sie ponownie tym razem czarny ekran [tez wczesniej sie pojawial] i nic dalej

przy probie wywolania managera zadan - komunikat: “Niepowodzenie - opcje zabezpieczen”

sorki za moja nadgorliwosc

log OTL z poziomu awaryjnego z wierszem:

najpierw pojawil sie:

http://wklej.org/id/951094/

a po ponownym uruchomieniu otl’a z wiersza polecen dal zrobic scana i efekt:

http://wklej.org/id/951097/

tez wole powalczyc do konca [format NIE!

Atis · 2013-02-08 17:59:57 UTC

Nie widać żadnej infekcji.

Następnym razem zanim zaczniesz czyścić rejestr wykonaj pełną kopię: RegBak

Normalny tryb awaryjny również nie działa?

W wierszu polecenia wpisz: rstrui.exe

Wybierz punkt przywracania przed wystąpieniem infekcji.

http://windows.microsoft.com/pl-PL/wind … and-prompt

TPK · 2013-02-08 21:06:51 UTC

no fakt - zapomnialem zrobic

bo mowiac szczerze nigdy mi sie nie przytrafilo, zeby ccleaner narozrabial w rejestrach

najczesciej czyscil po prostu jakies zalegle smieci i przyspieszal kompa

ale idac Twoim tokiem zrobilem rstrui ale “brak punktow przywracania”

wiec qpa ale mam backupy ccleanera, wiec przywrocilem w trybie awaryjnym “normalnym” [dzialal]

restart do trybu normalnego bez wchodzenia w internet i …

dlugie ladowanie po uruchomieniu pulpitu [dysk mieli - komp mysli i mysli] i …

coraz bardziej spowalnia [nie wyswietlaja sie wszystkie ikony w prawym dolnym pasku

pojawil sie tylko miernik baterii [przy checi zmiany trybu - brak odpowiedzi]

wszystko trwa kilka minut a system jeszcze sie calkowicie nie zaladowal, dysk wolniej ale dalej mieli

probuje wejsc do manadzera zadan i … dlugo czarny ekran, w koncu odpowiedz:

Niepowodzenie - opcje zabezpieczen [Proces logowania nie moze utworzyc okna dialogowego opcji zabezpieczen.]

Atis · 2013-02-08 21:16:48 UTC

Odinstaluj program Avast.

W razie problemów:

Dezinstalacja za pomocą użycia narzędzia avast! Uninstall Utility

TPK · 2013-02-08 21:38:23 UTC

komp zawiesil sie na czystym pulpicie [bez ikon]

wkonalem twardy reset i logo otl’a z awaryjnego z wierszem polecen:

OTL:

http://wklej.org/id/951343/

Extras:

http://wklej.org/id/951345/

prosze o dalsza pomoc

– Dodane 08.02.2013 (Pt) 22:39 –

odinstaluje jeszcze tego avasta ale jak juz wroce do domu

za godzinke

Atis · 2013-02-08 22:09:21 UTC

Jednak system nadal jest zainfekowany.

Pobierz i uruchom plik:

http://sendfile.pl/273352/FIX.bat

Po restarcie uruchom drugi plik:

http://sendfile.pl/273353/FIX1.bat

Pokaż nowy log z OTL

TPK · 2013-02-09 01:15:07 UTC

odinstalowany avast

fixy wykonane

OTL:

http://wklej.org/id/951468/

Extras:

http://wklej.org/id/951469/

komputer dziala i chyba jest OK ale …

sporo mielil dyskiem - wylaczylem indeksowanie

i potem zrobie porzadki z plikami

jesli jeszcze moge to mam pytania:

widzialem mnostwo tempow w bearshare - usunac ?
Ktorym programem wyczyscic rejestry ?
jakiego antyvira stosowac w wersji free ? [teraz kompik goly i nie podlaczylem jeszcze neta]
Czy zostawiac firewalla windowsowego czy tez innego i ktorego free ?
Czy jednak przeprosic sie z jakims “Internet Security” ?
Wiem, wiem - najlepiej platne OK - jesli tak to ktory ?

Co do antyvirow w przypadku “policyjnego” u mnie na kilku komputerach nie sprawdzily sie:

MSSE, Avira, NOD i AVAST, niestety nie mam Free Kasperskiego - bo pewnie bym uzyl

nie jestem tez zwolennikiem oprogramowania typu “Internet Security”, gdyz mocno spowalniaja system

czy powinienem zmienic zdanie?

co proponujecie?

ktory anty-vir w polaczeniu z win-firewwall’em ? lub ktory security ? [w wersjach free]

mysle, ze odpowiedz moze przydac sie rowniez innym userom windy

ATIS - bardzo dziekuje za rewelacyjna pomoc. SZACUN

– Dodane 09.02.2013 (So) 2:34 –

uuups

fixy zrobilem jeden po drugim bez restartu pomiedzy nimi

powtorzyc oddzielnie?

Atis · 2013-02-09 01:40:55 UTC

Płatne programy nie są skuteczniejsze od darmowych.

Tego “policyjnego” trojana od wielu miesięcy przepuszczają wszystkie programy antywirusowe.

Jeżeli chodzi o czyszczenie rejestru to przede wszystkim należy wykonać pełną kopię rejestru za pomocą RegBak.

Dobrze również utworzyć punkt przywracania:

Jak ręcznie utworzyć punkt przywracania?

Vit Registry Fix Free Edition

Pobierz plik:

http://sendfile.pl/273353/FIX1.bat

Kliknij prawym i wybierz Uruchom jako administrator.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM…\SearchScopes{6023F9D0-8816-540A-D4DB-388DE38EB125}: “URL” = http://www.mywebsearch.com/jsp/cfg_redi … searchfor={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Local Page Restore = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKLM…\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O4 - HKLM…\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui File not found O4 - HKCU…\Run: [TRUCK & CARGO Online] c:\tccargo\tccargo.exe --autostart --noupdate File not found O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) [2013-02-05 19:52:17 | 000,000,000 | —D | C] – C:\ProgramData\Spybot - Search & Destroy [2013-02-05 19:47:04 | 000,000,000 | —D | C] – C:\Users\MAREK\AppData\Roaming\LavasoftStatistics :Files rd /s /q C:$Recycle.Bin /c :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż ten raport.