System zawiesza się po starcie, trojany, pozamieniane skróty

[bpm]

Dobry wieczór,

 

system bardzo zainfekowany, po uruchomieniu system zawiesza się, ale na chwilę przed pokazuje się info o błędzie Office 2010. Tryb awaryjny uruchamia się normalnie dopiero po użyciu Kaspersky Rescue Disk. Wszystkie skróty na pulpicie i Menu Start pozamieniane są i wyglądają jak ikona Word.

 

W pierwszej kolejności przeskanowany Kaspersky Rescue Disk oprócz tego wszystkie skany w awaryjnym, TDSSKiller oraz MBAM nie pokazały nic. Wklejam logi oraz proszę o analizę:

 

Kaspersky

FRST

Addition

OTL

Extras

Gmer

[picasso]

Pomyliłeś się, zlinkowałeś mi dwa razy log OTL, brak pliku FRST Addition. Dodaj, a przejdę do usuwania. Póki co:

- Wyniki Kasperskiego są błahe: szczątki adware Delta i Mobogenie oraz wyniki z Tymczasowych plików internetowych.

- Log z FRST wykazuje, że działa inne silne adware, którym należy się zająć.

 

.

[bpm]

Tak faktycznie przepraszam. Już wklejam prawidłowy.

 

Addition

[picasso]

1. Rozpocznij od poprawnych instalacji prezez Panel sterowania: Delta toolbar, Foxtab, iLivid, Mobogenie, Movies Toolbar for Chrome (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), MyPC Backup, Torch, Update for PDF Creator.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Foxtab Speed Dial, Movies Toolbar (o ile nadal będą po w/w deinstalacjach).
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy skan FRST, pole Addition ma być zaznaczone. Dołącz plik log AdwCleaner.

 

 

 

.

[bpm]

Praktycznie wszystko o czym piszesz w pkt 1. (oprócz Foxtab) usunąłem już wczoraj wieczorem oraz użyłem AdwCleaner. Niestety od razu odinstalowałem AdwCleaner i log przepadł. Teraz zrobiłem nowy, ale ten jest czyściutki.

 

Wklejam nowy log z FRST.

 

FRST

Addition

[picasso]

Poprawki:

 

1. Start > w polu szukania wpisz regedit > wejdź do klucza:

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes

 

Skasuj z niego taki krzaczasty podklucz:

 

SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = 

 

2. Otwórz Notatnik i wklej w nim:

 

IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\rjatydimofu.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
Task: {3783D2EA-22A2-4298-92D3-97EB7AD74951} - \DSite No Task File
Task: {587FE40C-E188-42FB-85B7-D6EF8050F8DF} - \VuuPCUpdateLogin No Task File
Task: {5A1A28F7-2300-44C3-8EC5-D1992C0BA3DB} - System32\Tasks\{4AE35E82-68A7-4CF4-AEE2-DEFF4062200D} => Firefox.exe
Task: {5B81C973-EDDE-40E5-8BF1-2DDEC9AAAE43} - \VuuPCUpdate No Task File
Task: {7A0669C5-C3B3-4F10-8715-77BF138FF5C7} - System32\Tasks\{3713768D-28E1-4017-AA5B-3D12662BFDB4} => Firefox.exe
Task: {BE651A61-C1EF-4449-AB65-E8BAC9B7F85F} - \FoxTab No Task File
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - E879CD4927A34F5D9DC08D5FB63E0FD5 URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8EA478E4007A535B&affID=119357&tsp=4953
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 - C:\Program Files (x86)\Microsoft Office\Office14\NPAUTHZ.DLL No File
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 - C:\Program Files (x86)\Microsoft Office\Office14\NPSPWRAP.DLL No File
CHR HKLM\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\Iga\AppData\Local\foxtab_speeddial.crx [2014-01-08]
CHR HKCU\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\Iga\AppData\Local\foxtab_speeddial.crx [2014-01-08]
CHR HKLM-x32\...\Chrome\Extension: [aaaaabcbmongicmdegkmmfgdickgnnob] - C:\Users\Iga\AppData\Local\ilividmoviestoolbar181\GC\toolbar.crx [2013-12-11]
CHR HKLM-x32\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\Iga\AppData\Local\foxtab_speeddial.crx [2014-01-08]
C:\Users\Iga\AppData\Local\ilividmoviestoolbar181
C:\Users\Iga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Torch.lnk
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[bpm]

Gotowe, oto wynikowy log.

 

Fixlog

[picasso]

Skrypt wykonany pomyślnie. Często tu jesteś, więc wiesz co dalej: usunięcie używanych narzędzi, czyszczenie folderów Przywracania systemu, aktualizacje softu.

 

Temat rozwiązany. Zamykam.

 

 

 

.

[bpm]

Dziękuję bardzo za pomoc.

 

Zostało jeszcze to, że system w rzeczywistości w trybie normalnym zawieszał się, bo nie mógł wykonać restartu po BSOD. Dopiero po odhaczeniu przez mnie opcji "Automatycznego uruchomienia ponownie" w przypadku awarii, ukazał się BSOD: REGISTRY_ERROR 0x00000051

 

Druga kwestia to skróty, które wyglądają jak ikona programu WORD, po kliknięciu w cokolwiek, obojętnie jaki skrót do obojętnie jakiego programu, uruchamia się WORD po czym zawiesza.

 

Dodam, że dysk i pamięć były przez mnie testowane za pomocą MHDD i memtest. Wykonałem też procedurę: chkdsk c: /f /r

[picasso]

Zostało jeszcze to, że system w rzeczywistości w trybie normalnym zawieszał się, bo nie mógł wykonać restartu po BSOD. Dopiero po odhaczeniu przez mnie opcji "Automatycznego uruchomienia ponownie" w przypadku awarii, ukazał się BSOD: REGISTRY_ERROR 0x00000051

Czyli BSOD zachodzi tylko w Trybie normalnym? Jeśli tak: wstępnie z poziomu Trybu awaryjnego odinstaluj Avast.

 

 

Druga kwestia to skróty, które wyglądają jak ikona programu WORD, po kliknięciu w cokolwiek, obojętnie jaki skrót do obojętnie jakiego programu, uruchamia się WORD po czym zawiesza.

Uruchom Unassocc, na liście wyszukaj rozszerzenie LNK i użyj (o ile będzie czynna) opcję "Remove file association (user)".

 

 

 

.

[bpm]

Tak, tylko w trybie normalnym. Z tym, że teraz pojawił się kolejny problem i jestem bardzo zdziwiony, ponieważ nie chce się uruchomić nawet w trybie awaryjnym. Problem powoduje plik Avasta: aswrvrt.sys, podczas ładowania zawiesza się właśnie na tym pliku.

[picasso]

Spróbuj wyłączyć komponenty Avast z poziomu środowiska WinRE.

 

1. W Notatniku przygotuj fixlist.txt o zawartości:

 

DisableService: avast! Antivirus
DisableService: aswFsBlk
DisableService: aswMonFlt
DisableService: aswRdr
DisableService: aswRvrt
DisableService: aswSnx
DisableService: aswSP
DisableService: aswTdi
DisableService: aswVmm
HKLM-x32\...\Run: [avast] - C:\Program Files\AVAST Software\Avast\avastUI.exe [4858456 2013-05-02] (AVAST Software)

 

Plik oraz FRST ulokuj wprost na C:\.

 

2. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST: KLIK. Klik w Fix.

 

3. Spróbuj wejść do Windows. Jeśli się uda, odinstaluj Avast via Panel sterowania, następnie w Trybie awaryjnym popraw Avast Uninstall Utility.

 

 

 

.

[bpm]

Wykonane dziękuję, system uruchamia się już normalnie, brak BSOD.

 

Kolejna rzecz jaką zauważyłem tuż po uruchomieniu, to brak możliwości połączenia przez WiFi, z netem łączy się tylko na kablu.

 

Menadżer urządzeń pokazuje błędy jak na tym obrazku tutaj Nic nie daje przeinstalowanie sterowników.

[picasso]

Kolejna rzecz jaką zauważyłem tuż po uruchomieniu, to brak możliwości połączenia przez WiFi, z netem łączy się tylko na kablu.

Czy Avast już został odinstalowany i poprawiłeś Avast Uninstall Utility?

 

Kod w Menedżerze urządzeń sugeruje obecność filtrów sieciowych od jakiegoś programu (być może Avast). Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > pobór Właściwości wszystkich połączeń > w karcie Ogólne zweryfikuj czy są jakieś obiekty dodane przez programy wtórne > jeśli tak, odinstaluj i restart systemu.

 

 

 

.

[bpm]

 

 

Czy Avast już został odinstalowany i poprawiłeś Avast Uninstall Utility?

 

Oczywiście Avast odinstalowany prawidłowo.

 

 

Kod w Menedżerze urządzeń sugeruje obecność filtrów sieciowych od jakiegoś programu (być może Avast). Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > pobór Właściwości wszystkich połączeń > w karcie Ogólne zweryfikuj czy są jakieś obiekty dodane przez programy wtórne > jeśli tak, odinstaluj i restart systemu.

 

Po odłączeniu kabla, brak jakichkolwiek połączeń sieciowych. Karta jest pusta i wygląda tak



.

[picasso]

A co widać tam, gdy połączenie fizyczne istnieje (podpięty kabel).

[bpm]

Pojawia się "Połączenie lokalne" (Realtek)

[picasso]

Ja pytałam co widać we Właściwościach połączenia, które stanie się widoczne. Czyli co widać w karcie Ogólne, jakie komponenty, czy jest coś niedomyślnego.

 

 

 

.

[bpm]

Tak wyglądają Właściwości jak na screenie tutaj

 

Edit: Sieć bezprzewodowa już działa. Odinstalowałem HP Wireless Assistant oraz sterowniki Broadcom przez Dodaj/Usuń Programy. Po restarcie system zainstalował sam sterowniki i sieć zaczęła działać.

 

Nie działają (Kod 31):

 

Karta Microsoft 6to4

Karta Microsoft ISATAP #2

Teredo Tunneling Pseudo-Interface

 

EDIT2: Temat rozwiązany, dziękuję za pomoc i proszę o zamknięcie.