Brak startu systemu - please wait while the connection is being established

[Mariusz303]

Witam,

 

Mam problem który już część zna. Niestety przez jakiś czas ktoś inny używał mojego komputera i narobił syfu. System nie rusza i wyświetla się napis na białym tle " please wait while the connection is being established..."

 

Udało mi się wygenerować log OTL-em poprzez płytę z OTLPE

 

LOG OTL

[Landuss]

Oprócz obecności infekcji na dysku jest zaprawiony systemowy plik userinit (brak markera MS):

 

[2012/07/06 15:04:04 | 000,050,688 | ---- | M] (yHhQBFWl) -- C:\WINDOWS\System32\userinit.exe

 

1. Pobierz czysty plik userinit.exe pod XP SP2: KLIK

 

2. Przygotuj w Notatniku plik tekstowy z treścią skryptu:

 

:OTL
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={FA3E8988-D5CE-4BAB-AF04-A2F8AB3949EF}"
IE - HKU\ja_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={FA3E8988-D5CE-4BAB-AF04-A2F8AB3949EF}"
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: explorer = `.vbe ()
 
:Files
C:\date.bin
C:\autorun.inf
C:\WINDOWS\System32\autorun.inf
C:\WINDOWS\System32\drivers\win32x.sys
C:\Documents and Settings\ja\Dane aplikacji\aerga43ge4r.exe
C:\Documents and Settings\All Users\Dane aplikacji\F4D561D200000E975E270CF88DB91C90
 
:Services
win32x
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_USERS\ja_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_USERS\ja_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XZqIqa15281iwWR"=-
[HKEY_USERS\ja_ON_C\Software\Microsoft\Windows\CurrentVersion\Run]
"XZqIqa15281iwWR"=-
[HKEY_USERS\ja_ON_C\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"F4D561D200000E975E270CF88DB91C90"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik userinit.exe + plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE.

 

2. Start z OTLPE i do wykonania następujące akcje:

 

- uruchamiasz "My computer" i ręcznie przekopiowujesz z pendrive plik userinit.exe, zamieniając aktualny C:\WINDOWS\system32\userinit.exe

- uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klikasz w Run Fix. Z tego działania powstanie log, który będziesz prezentować.

 

3. Zastartuj normalnie do Windows (nie powinno być już z tym problemu) i wykonaj raporty z OTL

[Mariusz303]

Log po skrypcie http://wklej.org/id/794095/

OTL po uruchomieniu systemu http://wklej.org/id/794096/

Extras http://wklej.org/id/794097/

 

Na razie mam zablokowany pulpit.

[Landuss]

Wykonaj dalsze czynności:

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={FA3E8988-D5CE-4BAB-AF04-A2F8AB3949EF}"
IE - HKU\S-1-5-21-117609710-1450960922-1801674531-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={FA3E8988-D5CE-4BAB-AF04-A2F8AB3949EF}"
O7 - HKU\S-1-5-21-117609710-1450960922-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\S-1-5-21-117609710-1450960922-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-21-117609710-1450960922-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Mariusz303]

Nowy log OTL

[Landuss]

Teraz można uznać, że jest czysto. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

Internet Explorer (Version = 7.0.5730.13)

"{26A24AE4-039D-4CA4-87B4-2F83217003FF}" = Java 7 Update 3

"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Mariusz303]

Ogromne dzięki.