Biały ekran po starcie systemu \ komputer zablokowany przez policję

[gabri]

Witam

 

Proszę o pomoc w rozwiązaniu następującego problemu.

 

Po załadowaniu się Windowsa 7 pojawia się biały ekran. Jedyne co można wówczas zrobić, to wyłączyć laptop za pomocą przycisku na obudowie. Wcześniej natomiast wyświetlała się informacja o zablokowaniu komputera przez policję. Próby wejścia przez tryb awaryjny kończą się restartem. Działa jedynie tryb awaryjny z wierszem poleceń.

 

Załączam log z programu FRST. Nie udało mi się stworzyć loga za pomocą OTLPE, ponieważ po uruchomieniu programu z bootowalnej płyty wyskakuje blue screen o treści *** STOP: 0x0000007B (0xF78DA528, 0xC0000034, 0x00000000, 0x00000000).

 

FRST.txt

[picasso]

Działa jedynie tryb awaryjny z wierszem poleceń.

Czyli da się uruchomić FRST spod Windows. Na przyszłość: umieszczasz FRST na pendrive, start do Trybu awaryjnego z Wierszem polecenia, w linii komend X:\FRST64.exe (gdzie X to litera pendrive) i ENTER, narzędzie się uruchomi i skan robisz.

 

 

Załączam log z programu FRST. Nie udało mi się stworzyć loga za pomocą OTLPE, ponieważ po uruchomieniu programu z bootowalnej płyty wyskakuje blue screen o treści *** STOP: 0x0000007B (0xF78DA528, 0xC0000034, 0x00000000, 0x00000000).

Zaznaczyłam w temacie, że wyborem pierwszym powinien być FRST (zwłaszcza, że tu jest nowa generacja systemów Windows 7), jako narzędzie nowoczesne. OTLPE to stara płyta (wbudowany OTL też archaiczny i mniej wiarygodny), a BSOD stąd, że płyta nie ma stosownych sterowników kontrolerów dysków.

 

 

Tu nie tylko blokada "policyjna", ale i wpis innego trojana (kojarzony z rootkitem Necurs, ale oznak Necurs brak). Przechodząc do usuwania infekcji:

 

1. Przygotuj w Notatniku skrypt usuwający. Otwórz Notatnik i wklej w nim:

 

HKU\gucio\...\Run: [AdobeBridge] - [x]
HKU\gucio\...\Run: [syshost32] - C:\Users\gucio\AppData\Local\{3C1123B9-AD42-62DA-EA76-9AEDC8569CC7}\syshost.exe [71680 2013-09-01] (Peter Pawlowski)
HKU\gucio\...\Winlogon: [shell] explorer.exe,C:\Users\gucio\AppData\Roaming\data.dat [120320 2013-07-08] () 
AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [2691536 2013-07-26] ()
S2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [2847696 2013-07-26] ()
C:\Users\gucio\AppData\Local\{3C1123B9-AD42-62DA-EA76-9AEDC8569CC7}
C:\Users\gucio\AppData\Local\Temp\*.exe
C:\Users\gucio\AppData\Local\Temp\*.dll
C:\Users\gucio\AppData\Roaming\data.dat
C:\Users\gucio\AppData\Roaming\skype.dat
C:\Users\gucio\AppData\Roaming\settings.ini

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

System zostanie odblokowany, loguj się normalnie do Windows i:

 

2. Zrób nowy skan FRST spod Windows, ma powstać też plik Addition. Dołącz plik fixlog.txt.

 

 

 

.

[gabri]

Wszystko wykonane. Załączam logi.

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Ale zaraz, ten fixlist był przeznaczony do FRST uruchomionego spod WinRE a nie spod Windows! Dlatego w wynikach przetwarzania skryptu wszystkie wpisy użytkownika w rejestrze są "not found" (to nie jest zgodne z prawdą, skrypt miał wpisy w konwencji innego środowiska, dlatego się nie udało), a nowy log spod Windows nadal je pokazuje. Czyli trzeba poprawiać. Poza tym, możemy zabrać się za usuwanie adware. Teraz oczywiście już działasz spod Windows:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {614359AB-FC94-4DA1-BE12-2467C60EB42C} - System32\Tasks\DealPly => C:\Users\gucio\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-02-11] ()
Task: {678025E9-E0F7-43DC-95FC-31A4BC00DDDE} - System32\Tasks\EPUpdater => C:\Users\gucio\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-06-06] ()
Task: {91B47B8E-2DEC-429A-B0B0-4DF409D514D1} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect
Task: {BFB4EF4D-5BC3-45FA-AC71-8C511F3A277D} - System32\Tasks\DealPlyUpdate => C:\Program Files (x86)\DealPly\DealPlyUpdate.exe [2011-12-19] (DealPly)
Task: {F3AD12CE-156C-4E02-98AA-84693BCADF7A} - System32\Tasks\DSite => C:\Users\gucio\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-10] ()
Task: C:\Windows\Tasks\DSite.job => C:\Users\gucio\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE
HKCU\...\Run: [AdobeBridge] - [x]
HKCU\...\Run: [syshost32] - C:\Users\gucio\AppData\Local\{3C1123B9-AD42-62DA-EA76-9AEDC8569CC7}\syshost.exe
HKCU\...\Winlogon: [shell] explorer.exe,C:\Users\gucio\AppData\Roaming\data.dat 
AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [2691536 2013-07-26] ()
R2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [2847696 2013-07-26] ()
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page =
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=119999&babsrc=SP_ss&mntrId=b8457168000000000000bc77372e2251
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=119999&babsrc=SP_ss&mntrId=b8457168000000000000bc77372e2251
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKCU - {5D3DAD3E-BC1F-4602-8FFA-04C5CE16292F} URL =
SearchScopes: HKCU - {D1041405-120E-4416-BBA4-0251069D811C} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_EU&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=C7EF90B1-B4B5-4B37-8B8A-4FDF483949FA&apn_sauid=CD0396FC-F2BE-48E3-B580-A7D236DF6F8E
BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\gucio\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen)
BHO-x32: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\gucio\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
BHO-x32: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
BHO-x32: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.21.5\bh\delta.dll (Delta-search.com)
Toolbar: HKLM-x32 - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.21.5\deltaTlbr.dll (Delta-search.com)
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HKLM-x32\...\Chrome\Extension: [dlfienamagdnkekbbbocojppncdambda] - C:\Program Files (x86)\Complitly\chrome\ComplitlyChrome.crx
CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\gucio\AppData\Roaming\BabSolution\CR\Delta.crx
CHR HKLM-x32\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
AlternateDataStreams: C:\Users\gucio\Cookies:ffxfgs0RQYxOgo4lvR0Yks8Wrc
AlternateDataStreams: C:\Users\gucio\AppData\Local\Temp:Q680YB8u58lSHiqbkhF7PYPnP3Nh2
C:\Users\gucio\AppData\Local\Ol5DwQLEglmvs0
C:\Users\gucio\AppData\Roaming\Mozilla

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware:

 

Babylon toolbar on IE, BrowserProtect, Codec Pack Packages, Complitly, DealPly, Delta Chrome Toolbar, Delta toolbar, Qtrax Player, unnm=Version Checker for Dealply

 

3. Google Chrome też zanieczyszczone adware i ma uszkodzone preferencje. W Google Chrome przeprowadź następujące akcje:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń strony tam otwierane, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż aktualny URL (prawdopodobnie Delta) stamtąd
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci (prawdopodobnie m.in. Delta Search).
• Ustawienia > karta Rozszerzenia > odinstaluj Complitly plugin for chrome, Delta Toolbar, DealPly (części może nie być po deinstalacjach w Panelu sterowania)
• Ustawienia > karta Historia > wyczyść

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner.

 

 

 

.

[gabri]

Pogubiłem się wtedy z tym FRST. Przepraszam za dodatkowe kłopoty.

 

Wszystkie punkty wykonałem bez żadnych problemów. Załączam logi.

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

FRST.txt

[picasso]

Wszystko zrobione. Kolejna porcja zadań:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zrób pełne skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową bez rezydenta). Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[gabri]

Wykonałem wszystkie kroki. Skanowanie znalazło 4 zagrożenia, o których więcej jest w logu.

MBAM-log-2013-09-14 (00-22-04).txt

[picasso]

1. Wyniki MBAM: to już małe piwo, czyli adware. Odinstaluj FLVPlayer. Następnie w katalogu Pobieranie przez SHIFT+DEL skasuj instalatory adware FLVPlayerSetup.exe + VideoPlayerSetup.exe.

 

2. Odinstaluj wszystkie stare wersje Adobe i Java, zastąp najnowszymi, a także zainstaluj SP1 dla Office 2010: KLIK. Wg raportu są tu zainstalowane:

 

==================== Installed Programs =======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.224) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224) ----> wtyczka dla Firefox/Opera

Adobe Reader XI (11.0.04) (x32 Version: 11.0.04)

Java 7 Update 17 (x32 Version: 7.0.170))

Java™ 6 Update 22 (x32 Version: 6.0.220)

Java™ 6 Update 23 (64-bit) (Version: 6.0.230)

Microsoft Office Starter 2010 - Polski (x32 Version: 14.0.4763.1000)

Skype™ 6.1 (x32 Version: 6.1.129)

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.

[gabri]

Wykonałem wszystkie punkty. Jedynie nie udało się zainstalować SP dla Office'a. Próbowałem instalować wersję 32 i 64 bit, polską i angielską. Za każdym razem pojawiał się komunikat "there are no products affected by this package installed on this system" lub jego polski odpowiednik. Dlatego, by pozbyć się problemu, po prostu odinstaluję Office Starter, który i tak do niczego nie jest mi potrzebny.

 

Serdecznie dziękuję za Twoją pomoc.