Dzień dobry

Chciałbym prosić o pomoc w związku z moim problemem. Wczoraj mojego laptopa z Windows 7 zaatakował wirus Ukash, przez co, wiadomo, pojawił się ekran z napisem “Policja” i poleceniem załaty, i w takim wypadku normalnie pozostawałoby działanie w trybie awaryjnym, by go usunąć. Jednak okazało się, że ani tryb awaryjny z obsługą sieci, ani zwykły (prócz tego z wierszem poleceń) nie działają. Opcja “Napraw komputer” uruchamiana z F8 przy rozruchu komputera także nie dała żadnych skutków. Przedstawię to, co się wyświetla na ekranie komputera w zależności od wybranego trybu:

1. Tryb normalny - pokazuje się czarny ekran (wcześniej jeszcze na chwile pojawiała się tapeta z pulpitu), następnie jakieś okienko, z którego można ustawić kamerkę internetową wbudowanąlaptopa, po czym po zamknięciu tego okna, wcisnięciu ok lub czymkolwiek innym, okienko znika, i pojawia się kompletnie jasnoszare tło, i potem ono zostaje i nic się nie dzieje, lub jezcze na chwile pojawi się to “policyjne” okno Ukash, po czym wyskakuje niebieski ekran z tekstem po angielsku, że “Wystąpił błąd i komputer zostanie zamknięty… jeśli ten ekran pojawiłci sie pierwszy raz, to uruchom komputer ponownie, jeśli kolejny raz, to postępuj wg poniższych wskazówek…”

2. Tryb awaryjny, lub tr awaryjny z obsługą sieci - pojawia się na chwile cały pulpit, nawet tym razem z ikonami, po czym po kilku sekundach nagle sam sie resetuje (kiedy wielokrotnie próbowałem odpalic tr awaryjny, to za każdym razem tak się dzieje)

3)Tr. aw. z wierszem poleceń - działa, da się wpisywać polecenia, ale niewiele da się z niego uruchomić. Antywirusa (posiadam Avira Antivir Free) z niego nie odpaliłem, udało mi się jedynie odpalić Malwarebytes Anti-Malware-a, którego miałem na kompie zainstalowanego wcześniej, ale gdy uruchamiam skanowanie, to gdzieś mniej więcej, gdy dojedzie to skanowanie do folderu Pobrane (którego sobie domyślnie zawsze FireFox tworzy), to proces ten sie przerywa, i pojawia sięniebieski ekran, ten sam, o którym pisałem wcześniej. Ba, pojawia się on nawet, gdy w Malwarebytes’ie kliknę na zakładkę “Kwarantanna” (nie wiem, czemu akurat wtedy)

Ponadto, bez względu na to, który z powyższych trybów wybiorę, to zawsze charakterystyczną cechą jest to, że przy ładowaniu niebieskiego panelu do logowania do Systemu Windows, po wpisaniu hasła i potwierdzeniu go, kursor myszy zamienia się w kręcące kółko jak zwykle, i system sie ładuje, tyle że tym kyrsorem przez ten czas nie mogę ruszyć, ponadto nie pojawia się napis “Zapraszamy”. Ponadto, gdziekolwiek spróbuję włączyć menedżera zadań, to zamiast niebieskiego tła z opcją uruchomienia menedżera zadań, pojawia się owe tło, lecz jak gdyby lista opcji do wybrania została wyczyszczona, po prostu pojawia się pustka, tak jakby plik, który za pojawienie się tych opcji odpowiadał, został uszkodzony.

Sądząc po tym, że nawet Tryb Awaryjny nie działa, to podejrzewam, że oprócz Ukash’a może być też wirus Sality, i raczej wątpię, żebym się mylił.

Podsumowując, dotychczas jakoś Ukasha dawao radę usunąć Ukasha Malwarebytes’em, ale teraz moje możliwości i kompetencje w tej materii się juz wyczerpały. Pokornie proszę o pomoc - wierzę jeszcze, że może coś z wiersza poleceń mógłbym jeszcze zdziałać.

Pozdrawiam

Pobierz OTL na pendrive i uruchom za pomocą wiersza poleceń.

W wierszu polecenia wpisz: X:\OTL.exe

X - podstawiasz literę którą oznaczony jest pendrive.

Kliknij Skanuj i pokaż log.

http://oldtimer.geekstogo.com/OTL.exe

Nie znasz litery to użyj sposobu z notatnikiem.

1. W wierszu polecenia wpisz: notepad

2. W menu notatnika: Plik -> Otwórz

3. Pliki typu -> Wszystkie pliki

4. Teraz odszukaj OTL kliknij prawym i z menu kontekstowego wybierz Otwórz lub Uruchom jako…

http://wstaw.org/m/2012/12/23/2012-12-23_205834.png

Pobrałem OTL.exe na pendrive’a i próbowałem go uruchomić na zainfekowanym komputerze z wiersza poleceń, ale po wpisaniu polecenia G:\OTL.exe (pendrive to u mnie dysk G) i wciśnięciu entera, pojawiło się na pół sekundy małe okienko (jak gdyby program OTL miał się otwierać), i potem nagle znowu wyskoczył niebieski ekran, o którym pisałem wcześniej (czyli; “a problem has been detected and windows has been shutdown to prevent damage to your computer” i pod tym napis “BAD_POOL_HEADER”)

Przy okazji, Notepad się otwiera, ale ma tylko okno z polem tekstowym - brak niestety menu, zamiast niego pozostało już tylko puste białe pole.

EDIT: zaś próba odpalenia OTL z wiersza poleceń z tryb “Napraw komputer” skutkuje jedynie pojawieniem sięwiadomości “the subsystem needed to support the image type is not present”.

Spróbuj Farbar Recovery Scan Tool

Uruchomienie FRST - scenariusz trzeci: Wiersz polecenia z opcji Napraw komputer

FRST’em się udało przeskanować. Program zwrócił plik tekstowy o takiej treści:

Logi umieszczaj na http://wklej.org/

Wklej do systemowego notatnika:

Zapisz obok FRST jako zwykły plik tekstowy o nazwie fixlist

Uruchom FRST i kliknij Fix.

Później spróbuj normalnie uruchomić system i utworzyć logi z OTL

Kliknąłem Fix, pojawił się komunikat “…fixed succesfully”, jednak nadal bez zmian: normalny tryb systemu nie działa, tryb awaryjny tak samo nie działa jak wcześniej, i OTL ponownie nie da się otworzyć, nawet w awaryjnym z wiersza poleceń (znowu bluescreen)

EDIT: Mała poprawka, jednak tryb awaryjny już się nie restartuje, jednak wygląda kiepsko, bo poznikały wszystkie podpisy ikon (tak jak wcześniej z tym menu od notepada), nie da sie w nim otworzyć menu Start, i w nim również po otwarciu w cmd pliku OTL, komputer łapie bluescreena.

Pokaż nowy log z FRST.

Poza tym po wybraniu napraw później masz opcję przywracania systemu.

Możesz spróbować przywrócić system jeśli dostępny jest punkt utworzony przed infekcją.

Niestety, sprawdzałem wcześniej możliwość przywrócenia systemu, ale nie było żadnego punktu sprzed zainfekowania.

Poniżej nowy log

http://wklej.org/id/931651/

EDIT: No tak, zapomniałem, że FRST utworzył jeszcze plik fixlog.txt:

http://wklej.org/id/931676/

Widzę tylko jakieś nieznane zaplanowane zadanie.

Jeżeli w awaryjnym możesz kopiować to skopiuj folder: C:\Windows\Minidump

Wyślij na serwer: http://sendfile.pl/

Możesz spróbować za pomocą:

http://www.freecommander.com/pl/fc_downl_pl.htm

http://sendfile.pl/263104/Minidump.rar

Większość wskazuje na plik ntoskrnl.exe , a to może oznaczać również problem sprzętowy.

Infekcja wygląda na usuniętą, więc nie wiadomo jaka jest przyczyna problemu.

Czyli bez oddania do serwisu się niestety nie obejdzie.

Dziękuję w każdym razie za pomoc, wszak poswięcił Pan dobre ponad 5 godzin.

Pozdrawiam

Po prostu spróbuj reinstalować system, bo nie jest pewne czy przyczyną jest sprzęt.

W awaryjnym spróbuj uruchomić cmd jako administrator i wpisz: sfc /scannow

http://support.microsoft.com/kb/929833/en-us

Przepraszam, że odpowiadam długo “po czasie”…

Faktycznie, reinstalacja systemu pomogła, wszystko wróciło do normy, a zatem także nie ma mowy o problemie sprzętowym.

Dziękuję za wsparcie, którego Pan mi wtedy udzielił, i pozdrawiam serdecznie