Biały ekran przy uruchomieniu systemu

[kalama23]

Witam, mam ten sam problem z białym ekranem https://www.fixitpc.pl/topic/14146-bialy-ekran-przy-uruchomieniu-systemu/, jeśli można proszę bardzo o pomoc. Logi załączone. Czy można się nauczyć czytać te logi, czy to jakaś wiedza "tajemna" ? Z góry dziękuję za pomoc.

OTL.Txt

Extras.Txt

[picasso]

Zasady działu, tu jest zakaz dopisywania się: KLIK. Wydzielone w osobny temat. Prócz infekcji tytułowej są tu ślady rootkita ZeroAccess i systemowy sterownik netbt.sys wygląda na naruszony:

 

DRV - [2008-01-21 03:24:59 | 000,184,320 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\System32\drivers\netbt.sys -- (netbt)

 

Przechodząc do usuwania infekcji:

 

1. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

2. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\$NtUninstallKB23449$

 

Klik w Unlock.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Users\lenovo\*.exe
C:\Users\lenovo\*.com
C:\Users\lenovo\AppData\Roaming\msconfig.dat
C:\Users\lenovo\AppData\Roaming\msconfig.ini
C:\Users\lenovo\AppData\Roaming\updates
C:\Users\lenovo\AppData\Roaming\xehfaj2utuzkaycewrkg1smcijddimfy2
C:\Users\lenovo\AppData\Roaming\xt3nelfhnhi22wvjltirb3mthdfi1vme2
C:\Users\lenovo\AppData\Roaming\xyqyyjynhqddqcwstzksyunqxml2mwhw2
C:\Users\lodzia\AppData\Roaming\updates
C:\Users\lodzia\AppData\Roaming\xcpdlkytcm3hz31drmlvfqtnefdacup12
C:\Users\lodzia\AppData\Roaming\xgjsmfzkn2vxep1v2yxqrzyjyjdszl3y2
C:\ProgramData\common.data
fsutil reparsepoint delete C:\Windows\$NtUninstallKB23449$ /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:OTL
O3 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [unattend0000000001{70EB91E7-FAAB-44A4-BA19-C0A45B228BC0}] C:\Windows\test.bat File not found
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [baaah] C:\Users\lenovo\baaah.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [biugii] C:\Users\lenovo\biugii.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [engel] C:\Users\lenovo\AppData\Roaming\updates\updates.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [feevii] C:\Users\lenovo\feevii.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [honey - blow me up] C:\Users\lenovo\Desktop\Music\honey - blow me up.exe /C File not found
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [lieopeh] C:\Users\lenovo\lieopeh.exe /Z File not found
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [mnluur] C:\Users\lenovo\mnluur.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [qdveuj] C:\Users\lenovo\qdveuj.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [queoyuc] C:\Users\lenovo\queoyuc.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [RobinsonMapSmall[1]] F:\RobinsonMapSmall[1].exe /t File not found
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [viaday] C:\Users\lenovo\viaday.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [vmxuul] C:\Users\lenovo\vmxuul.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [waood] C:\Users\lenovo\waood.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [Windows Init] C:\Users\lenovo\AppData\Roaming\xt3nelfhnhi22wvjltirb3mthdfi1vme2\svcnost.exe ()
O4 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004..\Run: [Windows Update Server] C:\Users\lenovo\87c4f2c9-5689.exe ()
F3 - HKU\S-1-5-21-1135639285-1662150992-1316060889-1004 WinNT: Load - (C:\Users\lenovo\LOCALS~1\Temp\msvblehkj.exe) - C:\Users\lenovo\LOCALS~1\Temp\msvblehkj.exe (ase Corporation)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Efekt białego ekranu powinien ustąpić. Opuść Tryb awaryjny.

 

4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz Farbar Service Scanner. Dołącz log z wynikami SFC uzyskany w punkcie 1.

 

 

Czy można się nauczyć czytać te logi, czy to jakaś wiedza "tajemna" ?

 

To nie jest "wiedza tajemna" tylko wiedza o systemie: KLIK. Log to tylko pomocnicze narzędzie prezentujące skrawek systemu.

 

 

 

 

.

[kalama23]

Komputer działa. Logi poniżej. Dziękuję i pozdrawiam serdecznie.

Oczywiście przelew też pójdzie niebawem

FSS.txt

gmer.txt

OTL.Txt

11272012_193520.txt

sfc.txt

[picasso]

Dodałeś za duży log, cały CBS.LOG, a miałeś stworzyć log filtrowany do znaczników [sR]. Zrobiłam to za Ciebie i poprawny plik podstawiłam. Narzędzie SFC, zgodnie z tym co już mówiłam, wykryło naruszony sterownik netbt.sys i naprawiło:

 

2012-11-27 18:36:32, Info    CSI    000001bc [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[ml:24{12},l:18{9}]"netbt.sys" by copying from backup
2012-11-27 18:36:32, Info    CSI    000001be [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:18{9}]"netbt.sys" from store

 

Reszta zadań też wykonana, ale to nie koniec. Poprawki i skany potwierdzające na widoku.

 

 

---

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YOUTUBE.PLAYER.exe
C:\Users\lodzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YOUTUBE.PLAYER.exe
C:\Windows\$NtUninstallKB23449$
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"RobinsonMapSmall[1]"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. ZeroAccess zmasakrował usługi Windows. Odbuduj je za pomocą ServicesRepair.

 

3. Jest tu zainstalowany bardzo stary Symantec. Odinstaluj przez Panel sterowania wszystkie pozycje związane z Nortonem, Symantec i LiveUpdate. Następnie wejdź w Tryb awaryjny Windows i popraw czyścicielem Norton Removal Tool.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras) oraz Farbar Service Scanner. Dołącz log z wynikami usuwania OTL z punktu 1.

 

 

 

.

[kalama23]

Nowe pliki:

 

przy pierwszym wykonywaniu skryptu nie wkleiłem jednej linijki (ctrl+a nie zadziałało?), poprawiłem to później jeszcze raz dlatego 2 logi.

FSS.txt

OTL.Txt

11272012_212937.txt

11272012_204001.txt

[picasso]

Skrypt jest jednorazowy, powtarzanie po raz kolejny tych samych linii jest bezcelowe, skrypt po raz drugi nie skasuje tego samego. Należało tylko ominiętą linię przetworzyć. Log z OTL tworzyłeś z Trybu awaryjnego - już na tym etapie miałeś być w Trybie normalnym z powrotem. Log z Farbar Service Scanner opowiada, że usługi nie zostały odtworzone, czy był jakiś błąd przy używaniu Services Repair? Powtórka: użyj ponownie narzędzie ServicesRepair, zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

 

.

[kalama23]

Dzień dobry,

Zapora wyrzuca komunikaty:

"Nie można wyświetlić ustawień, ponieważ skojarzona usługa nie jest uruchomiona. Czy chcesz uruchomić?"

Po wybraniu TAK następny komunikat:

"System Windows nie może uruchomić usługi Zapora systemu Windows"

 

Zastanawiam się czy format dysku i zainstalowanie systemu od nowa nie rozwiązałoby sprawy szybciej?

[picasso]

kalama23 ja doskonale wiem, że Zapora wyrzuca takie komunikaty, bo masz skasowane jej usługi. Nie pytałam Cię co widzisz, bo wiem co widzisz. Powiedziałam, że masz powtórzyć to działanie:

 

2. ZeroAccess zmasakrował usługi Windows. Odbuduj je za pomocą ServicesRepair.

 

Czyli: uruchomić narzędzie ServicesRepair, zresetować system, podać nowy log z Farbar Service Scanner.

 

 

Zastanawiam się czy format dysku i zainstalowanie systemu od nowa nie rozwiązałoby sprawy szybciej?

 

Format potrwa dłużej niż cała naprawa, nawet jeśli robiona ręcznie. Format oznacza reinstalację wszystkiego. Nie warte to tego.

 

 

 

.

[kalama23]

Log z FSS:

FSS.txt

[picasso]

Jest lepiej, ale nie do końca. ServicesRepair odbudował usługi Zapory, ale nadal brakuje usług Centrum zabezpieczeń i Windows Defender. Powtarzaj po raz kolejny sekwencję: ServicesRepair > reset komputera > log z Farbar Service Scanner.

 

 

.

[kalama23]

Chyba jest postęp:

FSS.txt

[picasso]

Wszystkie usługi odbudowane. Tylko jedna wątpliwość, w logu widnieje komunikat "There is no connection to network", czy rzeczywiście brak połączenia sieciowego? Idziemy dalej:

 

1. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, resztę używanych ręcznie skasuj.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skany potwierdzające. Po wyrzuceniu archaicznego Symantec brak tu jakiegokolwiek podręcznego narzędzia. Zainstaluj Avast oraz Malwarebytes Anti-Malware (tu przy pytaniu o typ wersji wybierz darmową a nie próbną). Zrób pełne skanowanie w obu programach. Jeżeli coś zostanie wykryte, przeklej raporty skanerów.

 

 

.

[kalama23]

Log z Malwarebytes:

Czy usunąć zagrożenia? Avast przeskanuje dopiero po restarcie komputera, a tu już mam znalezione i nie chciałbym tego ponawiać.

mbam-log-2012-11-28 (12-59-55).txt

[picasso]

Spodziewałam się wyników. To wszystko to trojany i resztki infekcji, przeważnie na innym koncie lodzia (leczyłam głównie konto lenovo). Usuń wszystko. Następnie zabierz się za skanowanie Avastem, pełne.

 

 

 

.

[kalama23]

Skanowanie po restarcie przerwałem niechcący: Aswboot

Poprawiłem jeszcze raz:AswAr

aswAr.txt

aswBoot.txt

[picasso]

To skany z uruchomienia przy starcie. Interesuje mnie: czy skan pełny całego systemu coś wykrył?

[kalama23]

Pełny skan nic nie wykrył. Zainstalowałem jeszcze sp2 i teraz lecą wszystkie dostępne aktualizacje.

[picasso]

1. Ano właśnie, teraz miała być faza aktualizacji. SP2 już jest, reszta aktualizacji "leci", a ja tu jeszcze wypunktuję wersje widziane w pierwszym raporcie:

 

Internet Explorer (Version = 7.0.6001.18000)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A81200000003}" = Adobe Reader 8.1.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera)
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"PROHYBRIDR" = 2007 Microsoft Office system
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1135639285-1662150992-1316060889-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 21.0.1180.89

 

Czyli dodatkowo: usunięcie starych Adobe, aktualizacja Google Chrome, instalacja Internet Explorer 9, instalacja SP3 + reszty łat dla Office 2007, instalacja SP dla Microsoft SQL Server 2005 (KB913089).

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

Uwaga dodatkowa: masz zainstalowane kiepskie Gadu-Gadu 10. Uroków tego delikwenta nie trzeba przedstawiać. Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

I to byłby koniec zmagań.

 

 

.

[kalama23]

Dziękuję bardzo za pomoc. Życzę miłego wieczoru.