Biały Ekran po uruchomieniu systemu

[Rubo]

Witam, po włączeniu systemu widać normalnie pulpit przez 2 sek, później wszystko znika i jest biały ekran. Nie można również wejść przez tryb awaryjny
Dodaje pliki z OTL
Proszę o pomoc i z góry dziękuje.

OTL.txt

Extras.txt

[picasso]

Tu powinien działać Tryb awaryjny z Wierszem polecenia, gdyż jest infekcja "policyjna" ładowana przez Shell bieżącego użytkownika. Na przyszłość: dobieraj narzędzia bardziej zgodnie z systemem, OTLPE to bardzo stara płyta na silniku XP (a wbudowany w nią OTL to równie stara wersja), lepszym wyborem byłby tu FRST w wersji x64 uruchomiony z poziomu WinRE. Przechodząc do usuwania infekcji:

 

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej:

 

:Files
C:\Users\Ja\AppData\Roaming\skype.dat
C:\Users\Ja\AppData\Roaming\skype.ini
C:\Users\Ja\AppData\Roaming\BabMaint.exe
C:\Users\Ja\AppData\Roaming\Akluku
C:\Users\Ja\AppData\Roaming\BabSolution
C:\Users\Ja\AppData\Roaming\Sabo
C:\Users\Ja\AppData\Roaming\Widibo
C:\Windows\SysWow64\searchplugins
C:\Windows\SysWow64\Extensions
 
:Reg
[HKEY_USERS\Ja_ON_C\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKU\Ja_ON_C..\Run: [CollaborationHost] File not found
O4 - HKU\Ja_ON_C..\Run: [Ekzoz] C:\Users\Ja\AppData\Roaming\Widibo\igze.exe (Sysinternals - www.sysinternals.com)
O4 - HKU\UpdatusUser_ON_C..\Run: [CollaborationHost] File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Run Fix. System zostanie odblokowany, loguj się normalnie do Windows.

 

2. Odinstaluj adware:

- Przez Panel sterowania: Ask Toolbar, Ask Toolbar Updater, Babylon Toolbar, BrowserProtect, Delta Toolbar, Hoolapp Packages, McAfee Security Scan Plus, Update for PDF Creator.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowe logi ze standardowego OTL spod Windows, bo ten w OTLPE to straszna staroć. Ma powstać ponownie plik Extras, bo ten z OTLPE coś dziwny. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Rubo]

Windows odblokowany, bardzo dziękuje
Oto nowe logi
 

AdwCleanerS1.txt

Extras.Txt

OTL.Txt

[picasso]

Nie wszystko usunięte, nie wszystkie akcje też wykonłeś...

 

1. Nie wykonane i do wdrożenia:

- Do deinstalacji: Hoolapp Packages, McAfee Security Scan Plus, Przyspiesz.pl 2.2.2.0, PDF Creator Packages, Update for PDF Creator. Od pewnego czasu także się zastanawiam czy przypadkiem Qtrax Player nie jest jakąś niechcianą instalacją ładowaną z czym innym. Celowo to instalowałeś?

- Nie zresetowałeś Firefox: w Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ocr@babylon.com: C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\ocr@babylon.com
O4 - HKCU..\Run: [CollaborationHost] C:\Windows\system32\p2phost.exe -s File not found
O4 - HKCU..\Run: [Ekzoz] C:\Users\Ja\AppData\Roaming\Widibo\igze.exe File not found
2013-06-05 17:48:15 | 000,000,319 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
 
:Files
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Rubo]

Nowy log

OTL.Txt

[picasso]

Nie odpowiedziałeś mi na pytanie czy Qtrax Player był celową instalacją. Jeszcze mnie zastanawia ten plik JPG leżący luzem w katalogu konta, co on przedstawia?

 

[2013-04-18 13:10:17 | 000,069,330 | ---- | C] () -- C:\Users\Ja\295560_383991888366083_1026598562_n.jpg

 

Poza tym, zadania zrobione i przejdź do wykończeń:

 

1. Uruchom Autoruns i w karcie Task Scheduled usuń zadanie o nazwie DSite, a jeśli są tam jakieś pozycje "not found" to też.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Odinstaluj starą Java, Silverlight, Adobe Reader i zastąp najnowszymi (o ile potrzebne): KLIK. Wersje zanotowane w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.7) - Polish
 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

 

To m.in. luki Java są przyczyną tej infekcji.

 

 

 

.

[Rubo]

Wszystko wykonane jeszcze raz dziękuje. Przechodząc do Qtrax Player nie wiem czy sam się instalował czy nie bo to komputer siostry, a to zdjęcie jest zrobione z telefonu stąd taka dziwna nazwa

[picasso]

To się jej dopytaj o tego playera, a jeśli wyjdzie, że to niecelowa instalacja, to deinstalacja.

Temat rozwiązany. Zamykam.


.