Biały ekran - chyba wirus policyjny, nie daję rady :(

TPK (Darek Tpk) 2013-02-07 21:26:31 UTC #1

Witam,

Pierwszy post i z góry proszę o pomoc.

Problem w tym, ze biały ekran pojawia sie po uruchomieniu windy i nic nie da się potem zrobić. Zanim tu się zarejestrowałem powalczyłem.

Komp nie wchodzi w awaryjny, jedynie z wierszem poleceń. Podmiana w shellu explorera na iexplore.exe nic nie daje a co za tym idzie nie da się naprawić IE.

Poczyściłem z samostartujących płyt KAV, Eset, Acronis i nic

Uruchomiłem (udało się w awaryjnym z wierszem poleceń) Norman_Malware_Cleaner'a i trochę wyczyścił i trochę pomogło, bo już widać choćby tapetę i przez chwilę zawartość pulpitu ale po chwili ... znowu biały ekran.

Walczę już kilkanaście a może kilkadziesiąt godzin i już się prawie poddałem, będąc bliski formatu (NIE

Proszę o pomoc, niestety nigdy jeszcze nie korzystałem z OTL'a i nie znam procedur naprawczych

Mam nadzieję, że log jest poprawnie wykonany:

http://wklej.org/id/950503/

pzdr

Darek

Atis (Atis) 2013-02-07 21:41:51 UTC #2

Nie widać w tym logu składników infekcji.

Pobierz OTL na pendrive:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

Uruchom tryb awaryjny z wierszem polecenia.

W wierszu polecenia wpisz: X:\OTL.exe

X - podstawiasz literę którą oznaczony jest pendrive.

Nie znasz litery to użyj sposobu z notatnikiem.

W wierszu polecenia wpisz: notepad
W menu notatnika: Plik -> Otwórz
Pliki typu -> Wszystkie pliki
Teraz odszukaj OTL kliknij prawym i z menu kontekstowego wybierz Otwórz lub Uruchom jako...

TPK (Darek Tpk) 2013-02-08 10:34:21 UTC #3

witam

OTL:

http://wklej.org/id/950731/

extras:

http://wklej.org/id/950733/

z góry dzięki

Atis (Atis) 2013-02-08 13:55:45 UTC #4

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\Spybot -- (SDWSCService) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Spybot -- (SDUpdateService) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Spybot -- (SDScannerService) SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\BatteryCare\WinRing0.sys -- (WinRing0_1_2_0) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\TpChoice.sys -- (TpChoice) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_juextctrl.sys -- (huawei_ext_ctrl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcecm.sys -- (huawei_cdcecm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)O4 - HKCU..\Run: [TRUCK & CARGO Online] c:\tccargo\tccargo.exe --autostart --noupdate File not found O4 - HKCU..\Run: [NokiaOviSuite2] C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray File not found O20 - HKCU Winlogon: Shell - (C:\Users\MAREK\AppData\Roaming\skype.dat) - C:\Users\MAREK\AppData\Roaming\skype.dat () O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found 2013-02-07 21:45:48 | 000,000,004 | ---- | M -- C:\Users\MAREK\AppData\Roaming\skype.ini 2012-01-11 11:39:46 | 000,110,592 | -HS- | C -- C:\Users\MAREK\AppData\Roaming\skype.dat :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom system w normalnym trybie i odinstaluj:

Winamp Toolbar for Firefox

My Global Search Bar

Spybot - Search & Destroy

MediaBar 2.0

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

Pokaż nowy log z OTL.

TPK (Darek Tpk) 2013-02-08 17:39:08 UTC #5

dzieki,

pomoglo ... na troche

moze jednak narozrabialem, bo chcialem lepiej / za szybko ?!

po kolei:

zrobilem zgodnie z zaleceniem i kompik zaczal smigac

ale

moze za szybko podpialem go do net'u? i ...

chcialem polepszyc i po adwcleanerze zrobilem jeszcze czyszczenie ccleanerem, takze rejestry

odinstalowalem potem ccleanera i ....

po kilku restartach pojawil sie ponownie tym razem czarny ekran [tez wczesniej sie pojawial] i nic dalej

przy probie wywolania managera zadan - komunikat: "Niepowodzenie - opcje zabezpieczen"

sorki za moja nadgorliwosc

log OTL z poziomu awaryjnego z wierszem:

najpierw pojawil sie:

http://wklej.org/id/951094/

a po ponownym uruchomieniu otl'a z wiersza polecen dal zrobic scana i efekt:

http://wklej.org/id/951097/

tez wole powalczyc do konca [format NIE!

Atis (Atis) 2013-02-08 17:59:57 UTC #6

Nie widać żadnej infekcji.

Następnym razem zanim zaczniesz czyścić rejestr wykonaj pełną kopię: RegBak

Normalny tryb awaryjny również nie działa?

W wierszu polecenia wpisz: rstrui.exe

Wybierz punkt przywracania przed wystąpieniem infekcji.

http://windows.microsoft.com/pl-PL/wind ... and-prompt

TPK (Darek Tpk) 2013-02-08 21:06:51 UTC #7

no fakt - zapomnialem zrobic

bo mowiac szczerze nigdy mi sie nie przytrafilo, zeby ccleaner narozrabial w rejestrach

najczesciej czyscil po prostu jakies zalegle smieci i przyspieszal kompa

ale idac Twoim tokiem zrobilem rstrui ale "brak punktow przywracania"

wiec qpa ale mam backupy ccleanera, wiec przywrocilem w trybie awaryjnym "normalnym" [dzialal]

restart do trybu normalnego bez wchodzenia w internet i ...

dlugie ladowanie po uruchomieniu pulpitu [dysk mieli - komp mysli i mysli] i ...

coraz bardziej spowalnia [nie wyswietlaja sie wszystkie ikony w prawym dolnym pasku

pojawil sie tylko miernik baterii [przy checi zmiany trybu - brak odpowiedzi]

wszystko trwa kilka minut a system jeszcze sie calkowicie nie zaladowal, dysk wolniej ale dalej mieli

probuje wejsc do manadzera zadan i ... dlugo czarny ekran, w koncu odpowiedz:

Niepowodzenie - opcje zabezpieczen [Proces logowania nie moze utworzyc okna dialogowego opcji zabezpieczen.]

Atis (Atis) 2013-02-08 21:16:48 UTC #8

Odinstaluj program Avast.

W razie problemów:

Dezinstalacja za pomocą użycia narzędzia avast! Uninstall Utility

TPK (Darek Tpk) 2013-02-08 21:38:23 UTC #9

komp zawiesil sie na czystym pulpicie [bez ikon]

wkonalem twardy reset i logo otl'a z awaryjnego z wierszem polecen:

OTL:

http://wklej.org/id/951343/

Extras:

http://wklej.org/id/951345/

prosze o dalsza pomoc

-- Dodane 08.02.2013 (Pt) 22:39 --

odinstaluje jeszcze tego avasta ale jak juz wroce do domu

za godzinke

Atis (Atis) 2013-02-08 22:09:21 UTC #10

Jednak system nadal jest zainfekowany.

Pobierz i uruchom plik:

http://sendfile.pl/273352/FIX.bat

Po restarcie uruchom drugi plik:

http://sendfile.pl/273353/FIX1.bat

Pokaż nowy log z OTL

TPK (Darek Tpk) 2013-02-09 01:15:07 UTC #11

odinstalowany avast

fixy wykonane

OTL:

http://wklej.org/id/951468/

Extras:

http://wklej.org/id/951469/

komputer dziala i chyba jest OK ale ...

sporo mielil dyskiem - wylaczylem indeksowanie

i potem zrobie porzadki z plikami

jesli jeszcze moge to mam pytania:

widzialem mnostwo tempow w bearshare - usunac ?
Ktorym programem wyczyscic rejestry ?
jakiego antyvira stosowac w wersji free ? [teraz kompik goly i nie podlaczylem jeszcze neta]
Czy zostawiac firewalla windowsowego czy tez innego i ktorego free ?
Czy jednak przeprosic sie z jakims "Internet Security" ?
Wiem, wiem - najlepiej platne OK - jesli tak to ktory ?

Co do antyvirow w przypadku "policyjnego" u mnie na kilku komputerach nie sprawdzily sie:

MSSE, Avira, NOD i AVAST, niestety nie mam Free Kasperskiego - bo pewnie bym uzyl

nie jestem tez zwolennikiem oprogramowania typu "Internet Security", gdyz mocno spowalniaja system

czy powinienem zmienic zdanie?

co proponujecie?

ktory anty-vir w polaczeniu z win-firewwall'em ? lub ktory security ? [w wersjach free]

mysle, ze odpowiedz moze przydac sie rowniez innym userom windy

ATIS - bardzo dziekuje za rewelacyjna pomoc. SZACUN

-- Dodane 09.02.2013 (So) 2:34 --

uuups

fixy zrobilem jeden po drugim bez restartu pomiedzy nimi

powtorzyc oddzielnie?

Atis (Atis) 2013-02-09 01:40:55 UTC #12

Płatne programy nie są skuteczniejsze od darmowych.

Tego "policyjnego" trojana od wielu miesięcy przepuszczają wszystkie programy antywirusowe.

Jeżeli chodzi o czyszczenie rejestru to przede wszystkim należy wykonać pełną kopię rejestru za pomocą RegBak.

Dobrze również utworzyć punkt przywracania:

Jak ręcznie utworzyć punkt przywracania?

Vit Registry Fix Free Edition

Pobierz plik:

http://sendfile.pl/273353/FIX1.bat

Kliknij prawym i wybierz Uruchom jako administrator.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM..\SearchScopes{6023F9D0-8816-540A-D4DB-388DE38EB125}: "URL" = http://www.mywebsearch.com/jsp/cfg\_redi ... searchfor={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Local Page Restore = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKLM..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O4 - HKLM..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui File not found O4 - HKCU..\Run: [TRUCK & CARGO Online] c:\tccargo\tccargo.exe --autostart --noupdate File not found O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker\_url.pl?PL File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl ... rashim.cab (Reg Error: Key error.) [2013-02-05 19:52:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy [2013-02-05 19:47:04 | 000,000,000 | ---D | C] -- C:\Users\MAREK\AppData\Roaming\LavasoftStatistics :Files rd /s /q C:\$Recycle.Bin /c :Commands [emptytemp]