Weelsof - blokada trybu awaryjnego

[Szymon]

Witam.

Komputer został zainfekowany bardziej złośliwą odmianą Weelsofa, zablokowany jest także tryb awaryjny. Przy próbie uruchomienia OTLPE otrzymałem bluescreen z komunikatem błędu *** STOP: 0x0000007B (0xF78DA528, 0xC0000034, 0x00000000, 0x00000000). Błąd występuje zarówno przy bootowaniu z pendrivea jak i z płyty. Wykonałem skanowanie przy pomocy FRST uruchomionego z poziomu WinRE.

Proszę o pomoc i pozdrawiam,

Szymon.

FRST.txt

[picasso]

Zablokowany jest Tryb awaryjny ale nie Tryb awaryjny z obsługą Wiersza polecenia. W Twoim Windows jest wariant infekcji, który ładuje się przez Shell (powłokę graficzną) bieżącego użytkownika, dlatego Tryb awaryjny nie ładujący powłoki wszedłby gładko.

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\Szymon\...\Winlogon: [shell] explorer.exe,C:\Users\Szymon\AppData\Roaming\msconfig.dat [66048 2011-11-17] ()
C:\Users\Szymon\AppData\Roaming\msconfig.dat
C:\Users\Szymon\AppData\Roaming\msconfig.ini
C:\Users\Szymon\ms.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Ulokuj obok narzędzia FRST.

 

2. Uruchom narzędzie FRST i wybierz w nim opcję Fix. Wynikowo powstanie plik fixlog.txt. System zostanie odblokowany i startujesz już normalnie do Windows.

 

3. Log FRST sugeruje, że antywirus AVG został już odinstalowany (?). Jeśli tak, to odinstaluj też jego pasek + wyczyść posługując się narzędziem AVG Remover.

 

4. Zrób standardowe logi OTL z opcji Skanuj. Dla formalności dołącz plik fixlog.txt.

 

 

 

.

[Szymon]

System odblokowany, dziękuję bardzo za pomoc. A co do AVG to nie jest odinstalowany. jest aktywny i na bieżąco aktualizowany.

Pozdrawiam,

Szymon

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 30-10-2012

Ran by SYSTEM at 2012-11-03 02:20:12 Run:1

Running from G:\

 

==============================================

 

HKEY_USERS\Szymon\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.

C:\Users\Szymon\AppData\Roaming\msconfig.dat moved successfully.

C:\Users\Szymon\AppData\Roaming\msconfig.ini moved successfully.

C:\Users\Szymon\ms.exe moved successfully.

 

==== End of Fixlog ====

Extras.Txt

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta i kończymy:

 

1. Przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej programy: KLIK. Log mówi, że masz zainstalowane następujące wersje:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 29
"{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish
"Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1917468560-1577088634-1017368524-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)

 

Stare Adobe i Java odinstaluj przed nałożeniem najnowszych wersji.

 

 

A co do AVG to nie jest odinstalowany. jest aktywny i na bieżąco aktualizowany.

 

Zmyliły mnie iksy w FRST, które wskazywały martwe wpisy.

 

 

 

PS. Co do zasobożernego Gadu-Gadu 10 ... Poczytaj o alternatywnych programach z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.