Biały ekran po starcie Windowsa, egui.exe - błąd aplikacji

[simpleasy]

Podczas korzystania z internetu, nagle pulpit zamienił się na biały ekran i nic nie jestem w stanie z tym zrobić, uruchomienie w trybie awaryjnym kończy się również białym ekranem. Po naciśnięciu ctrl+alt+del, przechodzę na stronę windowsowską, ale uruchomienie menadżera zadań również kończy się białym ekranem.

Gdy chcę zamknąć komputer pojawia się taki komunikat:

 

' egui.exe uniemożliwia przywrócenie system'

 

wyskakuje też okienko:

' egui.exe - błąd aplikacji. Instrukcja spod 0x20467566 odwołuje się do pamięci pod adresem 0x20467566. Pamięć nie może być read. Kliknij przycisk OK, aby przerwać działanie aplikacji.'

 

Raz pojawił się czarny ekran, zamiast białego, wtedy byłam w stanie za pomocą ' specjalnych przycisków multimedialnych' dostępnych na klawiaturze mojego laptopa, otworzyć kilka programów i przeglądarkę. Nie wiem czy to istotne, ale kilka dni temu zainstalowała się jakaś wyszukiwarka delta, której nie udawało się usunąć, zrobiłam to na firefoxie, ale przy czarnym ekranie, okazało się że na Internet Explorer nadal jest.

 

Użyłam Dr.web'a, coś znalazł, naprawił, ale nic to nie zmieniło. Próbowałam włączyć GMER'a, ale po 3 minutach zawiesił się system, poczekałam 30minut i zdecydowałam się na restart. Po którym powrócił biały ekran.

Ponieważ mam od tygodnia problem z siecią w mieszkaniu, próbowałam użyć GMER'a kilka dni temu, wtedy z kolei po dojściu do pliku eamon.sys,  wyskakiwał komunikat że program przestał działać i zostanie zamknięty. 

 

 

Z szybkiego skanowania Gmer, pojawia się tylko to:

 

GMER 2.1.19163 - hxxp://www.gmer.net

Rootkit quick scan 2013-04-17 12:52:10

Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 TOSHIBA_ rev.LV01 298,09GB

Running: 0d60krf7.exe; Driver: C:\Users\Dziubek\AppData\Local\Temp\kxliqpog.sys

 

 

---- Devices - GMER 2.1 ----

 

AttachedDevice  \FileSystem\Ntfs \Ntfs     eamon.sys

AttachedDevice  \Driver\tdx \Device\Ip     epfwtdi.sys

AttachedDevice  \Driver\tdx \Device\Tcp    epfwtdi.sys

AttachedDevice  \Driver\tdx \Device\Udp    epfwtdi.sys

AttachedDevice  \Driver\tdx \Device\RawIp  epfwtdi.sys

 

 

Malware podczas szybkiego skanowania znalazł coś takiego i poddał kwarantannie:

C:\Users\Dziubek\AppData\Roaming\skype.dat (Trojan.Agent)

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Data: explorer.exe,C:\Users\Dziubek\AppData\Roaming\skype.

 

- ale sądzę że to nie jest powód białego ekranu. Jak próbuje uruchomić pełne skanowanie, zawiesza się. Eseta którego mam na stałe na komputerze nie jestem wstanie uruchomić.

 

 

Udało mi się zrobić logi OTL, może coś na nich wyszło.

OTLbiałyekran.Txt

Extrasbiały ekran.Txt

[picasso]

Malware podczas szybkiego skanowania znalazł coś takiego i poddał kwarantannie:

C:\Users\Dziubek\AppData\Roaming\skype.dat (Trojan.Agent)

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Data: explorer.exe,C:\Users\Dziubek\AppData\Roaming\skype.

 

- ale sądzę że to nie jest powód białego ekranu. Jak próbuje uruchomić pełne skanowanie, zawiesza się. Eseta którego mam na stałe na komputerze nie jestem wstanie uruchomić.

 

To jest właśnie powód. To infekcja blokująca komputer, a widzisz biały ekran, gdyż infekcja nie działa poprawnie, zamiast białego ekranu powinna być plansza z żądaniem okupu. Przechodząc do usuwania infekcji (musi być na koncie Dziubek, z którego poziomu robiłaś raporty OTL):

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Files
C:\Users\Dziubek\AppData\Roaming\skype.dat
C:\Users\Dziubek\AppData\Roaming\skype.ini
C:\Users\Dziubek\AppData\Roaming\mozilla\firefox\profiles\eyz79c0s.default\searchplugins\delta.xml
C:\Users\Dziubek\AppData\Roaming\mozilla\firefox\profiles\eyz79c0s.default\searchplugins\winamp-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:OTL
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\szdubzfl.sys -- (szdubzfl)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\sovsoznc.sys -- (sovsoznc)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\iucytvxo.sys -- (iucytvxo)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwrchid.sys -- (btwrchid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwl2cap.sys -- (btwl2cap)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwavdt.sys -- (btwavdt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwaudio.sys -- (btwaudio)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Efekt białego ekranu powinień ustąpić.

 

2. Odinstaluj zbędne aplikacje McAfee Security Scan, Spybot - Search & Destroy 2. Przy okazji: Twój ESET Smart Security także stary i sugeruję też od razu go odinstalować.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[simpleasy]

Ok, zrobiłam tak jak napisałaś. Biały ekran zniknął.

Dzięki wielkie.

 

AdwCleanerS1.txt

otl po skrypcie.txt

[picasso]

Log z usuwania wskazuje, że uruchamiałaś skrypt aż dwa razy. Skrypt jest jednorazowego użytku, nie wolno go powtarzać. Poza tym, prosiłam o zrobienie nowego raportu OTL z opcji Skanuj już po usuwaniu.

[simpleasy]

A ten log z OTL, który wrzuciłam nie jest ze stanu po usuwaniu? Nie wiedziałam że skrypt jest jednorazowy. Włączyłam skrypt, ale poszłam odebrać telefon i sekundę później komputer się zrestartował, o ile kojarze OTL nie restartuje się samoczynnie, myślałam że inny program go wymusił i skrypt nie został dokończony.

 

użyłam omyłkowo bardzo podobnych nazw, do logów. ten powinien być dobry.

OTLpo skrypcie.Txt

[picasso]

Log, który wrzuciłaś wcześniej, to log z usuwania a nie skan. Skrypt miał planowany restart systemu.
 
Zadania zostały pomyślnie wykonane, możemy kończyć:
 
1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{68BBD9A3-49E3-487A-B71B-86644B060C96}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{68BBD9A3-49E3-487A-B71B-86644B060C96}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files\Spybot - Search & Destroy 2
C:\Users\Dziubek\Doctor Web

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.
 
2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Odinstaluj stare Java i Adobe Flash i zastąp najnowszymi wersjami oraz zaktualizuj Google Chrome: KLIK. W Twoim spisie zainstalowanych programów obecnie widać wersje:
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java™ 6 Update 30
"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java™ 6 Update 6
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome 24.0.1312.56
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()

 
.