79ronin
(79ronin)
5 Październik 2013 13:22
#1
Witam
Proszę o pomoc w usunięciu nieznanej infekcji. Niestety nie wiem jakiego dokładnie rodzaju jest infekcja, gdyż zostałem poproszony o pomoc w jej usunięciu przez osobę w ogóle nie znającą się w tym temacie.
Infekcja polega na tym, iż komputer po włączeniu i zalogowaniu się na konto użytkownika jest nie do użytku, tzn. oczom ukazuje się biały ekran i nic ponadto.
Próba uruchomienia komputera w trybie awaryjnym kończy się porażką. Udaje się jedynie uruchomić tryb awaryjny z wierszem poleceń.
Wykonałem już skanowanie OTL, zgodnie z poradą w poście “Analiza i dezynfekcja - zestaw narzędzi nieingerencyjnych”
Udostępniam wyniki skanu:
OTL.txt
http://wklej.org/id/1143222/
EXTRAS.txt
http://wklej.org/id/1143226/
Atis
(Atis)
5 Październik 2013 13:38
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [On_Demand | Stopped] – C:\Program Files\Common Files\SureThing Shared\stllssvr.exe – (stllssvr) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\uxbxgvau.sys – (uxbxgvau) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\shapbuob.sys – (shapbuob) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\rcbktduq.sys – (rcbktduq) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\pccsmcfd.sys – (pccsmcfd) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\olesbcwa.sys – (olesbcwa) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\nzzlxkgo.sys – (nzzlxkgo) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\ntsiqust.sys – (ntsiqust) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\mtajwamy.sys – (mtajwamy) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\megmumrf.sys – (megmumrf) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\kpmtouhj.sys – (kpmtouhj) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\jhzxgsao.sys – (jhzxgsao) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\ilvvjhtl.sys – (ilvvjhtl) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_jubusenum.sys – (huawei_enumerator) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\gmottpof.sys – (gmottpof) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\gaeremqj.sys – (gaeremqj) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\flpokovr.sys – (flpokovr) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ew_hwusbdev.sys – (ew_hwusbdev) DRV - File not found [Kernel | Disabled | Stopped] – C:\Windows\system32\drivers\blbdrive.sys – (blbdrive) DRV - File not found [Kernel | System | Stopped] – C:\Windows\system32\drivers\becslppu.sys – (becslppu) O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-838962097-56164571-2179711283-1000…\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-838962097-56164571-2179711283-1000…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [keylab] C:\MsLAB\mslab.exe () O20 - HKU\S-1-5-21-838962097-56164571-2179711283-1000 Winlogon: Shell - (C:\Users\KAROLINA\AppData\Roaming\data.dat) - C:\Users\KAROLINA\AppData\Roaming\data.dat () [2013-10-05 11:17:38 | 000,000,004 | ---- | M] () – C:\Users\KAROLINA\AppData\Roaming\settings.ini [2013-10-04 09:44:56 | 000,068,608 | ---- | M] () – C:\Users\KAROLINA\cotcnaehldtkiwsjafh.bfg :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Uruchom system w normalnym trybie i odinstaluj:
MediaBar
Search-Results Toolbar
McAfee Security Scan Plus
Pobierz i uruchom AdwCleaner Kliknij Scan i później Clean.
Wklej netsvcs do OTL i kliknij Skanuj. Pokaż ten log.
79ronin
(79ronin)
5 Październik 2013 14:07
#3
Proszę bardzo oto raport z usuwania infekcji OTL’em:
http://wklej.org/id/1143257/
MediaBar, Search-Results Toolbar, McAfee Security Scan Plus już usunięte, obecnie czekam na wyniki skanowania ADWCleaner.
– Dodane 05.10.2013 (So) 16:32 –
Podaję logi ze skanowania OTL
http://wklej.to/YzycA
Nie jestem pewien tylko, czy to jest tylko plik OTL.txt, ale tylko ten plik posiada aktualną godzinę utworzenia, natomiast Extras.txt, jest ze starą godziną utworznia pliku przed czyszczeniem systemu
Atis
(Atis)
5 Październik 2013 14:45
#4
Jeżeli nie masz aktualnej licencji na ESET to odinstaluj ten program, bo dodatkowo działa Microsoft Security Essentials. Essentials chyba też wymaga aktualizacji.
Wklej i kliknij Wykonaj skrypt:
:OTL [2012-11-01 18:57:22 | 000,000,000 | —D | M] (Search-Results Toolbar) – C:\Users\KAROLINA\AppData\Roaming\mozilla\Firefox\Profiles\7u4a87n2.default\extensions{6e47d688-85ec-465a-9946-ec58220f14fc} [2009-09-05 20:21:45 | 000,000,000 | —D | M] (MediaWrap) – C:\Users\KAROLINA\AppData\Roaming\mozilla\Firefox\Profiles\7u4a87n2.default\extensions{dd68c513-9296-4b63-8d8b-8f1c991c8a48} [2013-10-05 16:04:27 | 000,000,000 | —D | C] – C:\AdwCleaner
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
http://windows.microsoft.com/pl-PL/wind … tore-point
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
79ronin
(79ronin)
5 Październik 2013 15:10
#5
Wszystko już wykonane,
Bardzo dziękuję za okazaną pomoc
Pozdrawiam