muszegonaprawc Opublikowano 26 Marca 2013 Zgłoś Udostępnij Opublikowano 26 Marca 2013 Witam. Po starcie systemu, po oknie powitalnym pojawia się na 1-3s pulpit z kilkoma ikonami (bez paska startowego na dole) i nagle zmnienia się cały ekran na biało. Działa tylko wskaźnik myszy. Komputer na nic nie reaguje - ani na ctr+alt+del, ani na przycisk windowsa. HDD tylko działa podczas uruchamiania i potem jak podczas normalnej pracy. Być może jest to znany trojan policyjny. Nie pokazuje się jednak typowe okno z komunikatem o ,,przestępstwie" - tylko biały ekran Mam zainstalowany Comodo internet security z firewollem. Początkowo komputer nie chciał wystartować w zwyklym trybie awaryjnym (nawet tym z obsługa sieci). Startował tylko w awaryjnym z wierszem polecenia. Po przeczytaniu kilku stron puściłem system na awaryjnym z wierszem polecenia przez combofixa ale ten zgłosił komunikat o braku neta i o braku konsoli odzyskiwania systemu - jednocześnie o braku tych możliwości. Usunął kilka plików i nic poza tym. Po uruchomieniu w opcji z obsługą sieci przeskanowałem komputer znowu combofixem (pobrał aktualizację i zainstalował konsolę odzyskiwania systemu) ale nie zakończył pracy - zakończył skanowanie (50 zadań - i usunął jakiś folder temp) i się zatrzymał. Nie zrestartował kompa. Zrobiłem to sam po 2h. Loga nie ma oczywiście. W nocy próbowałem jeszcze przelecieć kompa kasperskim rescue diskiem 10 ale efektu nie dało - zatrzymał się w pewnym momencie i zero reakcji. Obecnie podczas pracy w trybie awaryjnym z obsługa sieci wygaszacz ekranu po uruchomieniu się zawiesza system - nie pomaga polecenie uruchomienia menagera zadań (ctr+alt+del). W tym trybie obecnie komputer działa (z obsługa sieci). Żadnych danych na HDD raczej nie utraciłem. Windows XP próbuje się normalnie uruchamiać (po pojawieniu się białego ekranu konieczny jest restart bo zero reakcji) Po naciśnięciu przycisku wyłączenia komputera biały ekran znika, pokazuje się normalny pulpit, ale system zgłasza komunikaty: koniec pracy programu TitleJonew. Miesiąc temu była inna awaria - otwierało się 100 okien opery (a nawet procesów w menagerze zadań). System się wieszał Był problem z dojściem do ładu ale udało się - na razie. Na klawiaturze nie działał przycisk ,,ę" - wszystkie inne polskie znaki ok. Myśłałem że to wina klawiatury więc nie szykałem dziury w calu tym bardziej że antywirus nie zgłaszał infekcji. Podobnie było z myszką - latała po całym ekranie. Założyłem nową optyczną i na razie jest spokój. Dzisiaj próbowałem kasperskim rescue disc 10 przelecieć po raz 3 komputer (partycję systemową). Kasperski się muli, co chwilę pobiera coś z CD romu. Dochodzi do stanu 44% i się zawiesza (zero reakcji na mysz). Lampki kontrolne na klawiaturze (w tym od clapsloka) tylko mrugają. Ostatni plik skanowany jaki widać to: C:/...//LiveUpdate.exe//WUNPACLN.dll Z CD romu nic pobierane nie jest - nawet nie można go otworzyć, operacji na HDD nie ma żadnej. Poczekam sobie jeszcze. To już drugie takie skanowanie. PS. Po dawnej awarii mam tylko 512MB ramu. PC3200. Wstawiam logi z OTL Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Marca 2013 Zgłoś Udostępnij Opublikowano 26 Marca 2013 Przede wszystkim logi wykonane ze złego konta: Computer Name: DOMOWY | User Name: Administrator | Logged in as Administrator. To jest Administrator wbudowany w system a nie użytkownik, na którym występuje problem. Wykonaj raz jeszcze logi z prawidłowego konta. Odnośnik do komentarza
muszegonaprawc Opublikowano 26 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2013 Oto logi z konta uzytkownika Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Marca 2013 Zgłoś Udostępnij Opublikowano 26 Marca 2013 Teraz logi poprawnie wykonane i rzeczywiście widać infekcje Weelsof. 1. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\system32\drivers\etc\hosts Klik w Unlock. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\E.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\MAŁGOSIA\USTAWI~1\Temp\5776.sys -- (5776) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110824&tt=4712_8&babsrc=HP_ss&mntrId=c447d97100000000000000142adab10b" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4712_8&babsrc=SP_ss&mntrId=c447d97100000000000000142adab10b" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.dat) - C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.dat () :Files attrib /d /s -r -s -h C:\WINDOWS\system32\drivers\etc\hosts /C C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.ini C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Browser Manager / free-downloads.net Toolbar 4. Uruchom AdwCleaner z opcji Usuń. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras). Odnośnik do komentarza
muszegonaprawc Opublikowano 27 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2013 1) Wstawiam loga OTL po wykonaniu wszystkich kroków. 2) Dodatkowo wstawiłem loga z akcji czyszczenia ADW cleaner, 3) oraz raport z czyszczenia przez OTL Przed czyszczeniem za nic na świecie nie mogłem odpalić trybu awaryjnego z obsługą sieci oraz awaryjnego zwykłego. Po wybraniu użytkownika komputer przechodził automatycznie w tryb restartowania. Jedynie szło uruchomic z awaryjnego z wierszem polecenia (bez sieci) i reszta z wiersza poleceń DOS-u. Uprzednio wszystkie potrzebne programy ( GRANTPERMS, NOTEPAD, OTL, ADWCLEANER ) i powyższy skrypt zapisany w notatniku do OTL wrzuciłem na pendriva po ściągnieciu w drugim komputerze. 1) Uruchomiłem GRANTPERMS.exe z pena i po wstawieniu linijki skryptu polecenie - unlock, 2) Skopiowałem z pendriva na C: OTL.exe komendami w wierszu poleceń i go uruchomiłem, 3) Uruchomiłem z wiersza poleceń (po zmianie dysku oczywiście) z pendriva NOTEPAD.exe a potem w nim otworzyłem skrypt z pliku tekstowego do wstawienia w OTL (metoda copy-paste), 4) Uruchomiłem skrypt w OTL. 5) Po restarcie normalne konto ożyło :) i od razy odinstalowałem BROWSE MANAGER, ale free-downloads.net już nie było bo kiedyś to usuwałem z regcleanera podobnie jak babylon i inne pierdoły (chyba pozostawały wpisy w rejestrze) 6) Uruchomiłem ADWCLEANER i z opcji DELETE usunęło mi conieco. 7) Kontrolny skan OTL bez extras Zastanawiają mnie tylko foldery ukryte FOUND.000 do FOUND.007 tworzone za kazdym uruchomieniem komputera i są puste. Z tego co doczytałem robi je scandisk jako kopię zapasową. U mnie są puste akurat. Komputer ruszył normalnie. GDYBY wszystko było OK BARDZO SERDECZNIE DZIĘKUJĘ za POMOC!!!! OTL.Txt AdwCleanerS1.txt OTL 03272013_084047.txt Odnośnik do komentarza
Landuss Opublikowano 27 Marca 2013 Zgłoś Udostępnij Opublikowano 27 Marca 2013 Zastanawiają mnie tylko foldery ukryte FOUND.000 do FOUND.007 tworzone za kazdym uruchomieniem komputera i są puste. Z tego co doczytałem robi je scandisk jako kopię zapasową. U mnie są puste akurat. Zgadza się, to są foldery, które możesz spokojnie usunąć. Infekcje masz usunięta, ale ja nadal w logach widzę ten trefny toolbar i trzeba to usunąć skryptem. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst::OTLO2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.)O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.)O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.O3 - HKCU\..\Toolbar\ShellBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.)O3 - HKCU\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.):FilesC:\Program Files\free-downloads.net:Commands[reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Nowy log do oceny ze skanowania. Odnośnik do komentarza
muszegonaprawc Opublikowano 27 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2013 Zrobione. Wstawiam loga. Małe pytanko. OTL usunięte pliki przenosi do folderu _OTL Luknąłem tam i z porannego usuwania infekcji weelsoft są 2 pliki: allshell.dat i allshell.ini a z obecnego usuwania toolbaru 12 plików, w tym 4 typu exe (instalacyjne) i kilka bibliotek dll. Pousuwać to wszystko w jasną ch......ę? OTL.Txt 03272013_204929.txt Odnośnik do komentarza
Landuss Opublikowano 27 Marca 2013 Zgłoś Udostępnij Opublikowano 27 Marca 2013 Teraz wszystko gra. Przejdź do finalizacji tematu:1. Użyj opcji Sprzątanie z OTL.2. Opróżnij przywracanie systemu: KLIK3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180)"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 20"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish Szczegóły aktualizacyjne: KLIK4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To wszystko z mojej strony. Odnośnik do komentarza
muszegonaprawc Opublikowano 27 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2013 Małe pytanko. OTL usunięte pliki przenosi do folderu _OTL. Luknąłem tam i z porannego usuwania infekcji weelsoft są 2 pliki: allshell.dat i allshell.ini. A z obecnego usuwania toolbaru 12 plików, w tym 4 typu exe (instalacyjne) i kilka bibliotek dll. Pousuwać to wszystko w jasną ch......ę? Odnośnik do komentarza
Landuss Opublikowano 27 Marca 2013 Zgłoś Udostępnij Opublikowano 27 Marca 2013 Opcja Sprzątanie w OTL powinna to usunąć, ale jeśli tego nie zrobi to usuń ręcznie oczywiście cały folder. Odnośnik do komentarza
Rekomendowane odpowiedzi