Biały ekran po zalogowaniu do systemu Win7

[mj23]

Objawy: Po zalogowaniu widzę biały ekran.

Działa tylko: tryb awaryjny z wierszem polecenia

Addition.txt

FRST.txt

Shortcut.txt

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

W systemie działa infekcja "policyjna", stąd problem z białym ekranem. Ponadto, jeszcze są różne śmieci adware. Przeprowadź następujące działania:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
HKU\S-1-5-21-4198088824-986625612-194678947-1000\...\Winlogon: [shell] C:\Users\USER\AppData\Roaming\cache.dat [59392 2014-10-06] () HKLM-x32\...\Run: [NetPanel] => C:\Program Files\NetPanel\Starter.exe [218112 2014-09-18] (Gemius)
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [738496 2013-10-20] ()
S2 IBUpdaterService; C:\ProgramData\IBUpdaterService\ibsvc.exe [635232 2012-11-25] ()
S2 Update Mega Browse; "C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe" [X] S2 Util Mega Browse; "C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe" [X] S1 {29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64; C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys [61120 2014-04-24] (StdLib)
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
SearchScopes: HKCU - 186B9D0CEAFE4F158CC880120A871807 URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_2&babsrc=SP_ss&mntrId=f2cea5fa00000000000020cf30608399
BHO-x32: Giant Savings -> {11111111-1111-1111-1111-110011441179} -> C:\Program Files (x86)\Giant Savings\Giant Savings.dll (215 Apps)
BHO-x32: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
BHO-x32: Internet Panel -> {CE7C3CF0-4B15-11D1-ABED-709549C10000} -> C:\Program Files\NetPanel\IEHelper.dll (Gemius)
FF HKCU\...\Firefox\Extensions: [gemgecko@gemius.com] - C:\Program Files\NetPanel\gemgecko_ext
CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\USER\AppData\Roaming\BabylonToolbar\CR\BabylonChrome1.crx [2012-06-27]
CHR HKLM-x32\...\Chrome\Extension: [ndkhncnongaclekkbelchmeafffimifj] - C:\Users\USER\AppData\Local\Giant Savings\Chrome\Giant Savings.crx [2012-05-31]
CustomCLSID: HKU\S-1-5-21-4198088824-986625612-194678947-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-4198088824-986625612-194678947-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {1A5FED24-4875-4532-9C0E-B25D32F42BFF} - System32\Tasks\PC Performer_DEFAULT => C:\Program Files (x86)\PC Performer\PCPerformer.exe [2012-03-14] (PerformerSoft LLC) Task: {5260A715-028E-4F51-A32A-597287655380} - System32\Tasks\PC Performer_UPDATES => C:\Program Files (x86)\PC Performer\PCPerformer.exe [2012-03-14] (PerformerSoft LLC) Task: {A3DD69EB-22DC-4130-A0F2-A11D909842AA} - System32\Tasks\{D2F8D5A2-8007-4702-BC31-9BC7D846D7E3} => D:\programy\MK\Ksiega.exe
Task: C:\Windows\Tasks\PC Performer_DEFAULT.job => C:\Program Files (x86)\PC Performer\PCPerformer.exe Task: C:\Windows\Tasks\PC Performer_UPDATES.job => C:\Program Files (x86)\PC Performer\PCPerformer.exe C:\Users\USER\AppData\Roaming\cache.dat
C:\Users\USER\AppData\Roaming\cache.ini
C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys
DeleteKey: HKU\S-1-5-21-4198088824-986625612-194678947-1000\Software\Microsoft\Internet Explorer\Search
CMD: for /d %f in (C:\Users\USER\AppData\Local\{*}) do rd /s /q "%f"
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, blokada zniknie. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Z poziomu Trybu normalnego odinstaluj przez Panel sterowania:
- Adware i zbędniki: Babylon toolbar on IE, BabylonObjectInstaller, Giant Savings, Mobogenie, NetPanel, PC Performer, Updater Service.
- Stare aplikacje: Java 7 Update 15, Mozilla Firefox 5.0. Przy deinstalacji Firefox odpowiedz twierdząco na pytanie o usuwanie danych użytkownika.

3. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Giant Savings, Netpanel study (o ile nie znikną po w/w deinstalacjach)
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt i log z AdwCleaner.




.

[mj23]

Nie zaobserwowałem żadnych problemów. Poniżej kolejne logi.

Addition.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Ten log AdwCleaner jest obcięty od góry gdzieś do połowy. Czy to na pewno log w formie zapisanej na dysku? Poza tą nieścisłością wszystko wygląda na wykonane. Poprawki. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM-x32\...\Run: [RemoveNetPanel] => C:\Program Files\NetPanel\\Remove.exe [1697776 2014-09-18] (Gemius)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files\NetPanel
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox
RemoveDirectory: C:\Users\USER\AppData\Roaming\Mozilla
DeleteQuarantine:
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Auto-restart. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[mj23]

Tak, ADWCleaner tak zapisał plik na dysku.

 

W załączniku fixlog.txt.

 

Po restarcie otrzymałem...

 

STOP: c000021a {Fatal System Error}

The Session Manager Initialization system process terminated unexpectedly with status of 0xc0000022 (0x00000000 0x00000000).

The system has been shut down.

 

Nie działa tryb awaryjny.

Fixlog.txt

[picasso]

Fix wykonany pomyślnie. Nie wiem skąd te efekty (w Fix nic powiązanego), ani czy dobrze rozumiem: STOP: c000021a pokazuje się cały czas i nie możesz wejść do Windows? Rozwiń też wątek "Nie działa tryb awaryjny" = czyli jak to się objawia?

[mj23]

System działał prawidłowo po wcześniejszych akcjach. Zainstalowałem jedynie najnowsze oprogramowanie Java, Po tym restartowałem i wszystko było w porządku.

 

Tak, 3 razy restartowałem i to samo. Nie działa żadna opcja trybu awaryjnego. Podczas ładowania trybu awaryjnego automatyczny restart systemu.

 

Nie wykonywałem akcji "Ostatnia znana konfiguracja" czy "Napraw system".

[picasso]

Dostarcz log FRST z poziomu środowiska WinRE: KLIK.

[mj23]

Nie działa opcja -> F8 -> Napraw. Pojawia się błąd.

 

Użyłem płyty instalacyjnej Windows 7 Professional PL 64bit. Jednak przy Dostępie z poziomu DVD instalacyjnego w kroku "Czy chcesz zastosować naprawy i ponownie uruchomić komputer" i wybraniu opcji "Nie" i tak czekałem 15 minut bo próbował naprawić problem.

FRST.txt

[picasso]

W raporcie nie widzę nic co może powodować ten błąd, jedynie widać, iż jedną z ostatnich akcji rzeczywiście była instalacja Java i nic poza tym. Spróbuj "Ostatniej poprawnej konfiguracji".

 

Nie działa opcja -> F8 -> Napraw. Pojawia się błąd.

Jaki błąd?

[mj23]

Ad. "Ostatnia znana konfiguracja".

Niestety nie pomogło. Dalej BSOD.

 

Ad. F8

Uruchomienie systemu Windows nie powiodło się. Przyczyną moze być ostatnia zmiana sprzętu lub oprogramowania. Aby rozwiązać ten problem:

1. Włóż dysk instalacyjny systemu Windows i ponownie uruchom komputer.

2. Wybierz ustawienia języka a następnie kliknij przycisk Dalej.

3. Kliknij pozycję napraw ten komputer.

 

Stan: 0xc000000e

[picasso]

Z poziomu płyty DVD w module "Napraw komputer" spróbuj Przywracania systemu. W systemie są dostępne następujące punkty (czasy mogą być przekłamane):

==================== Restore Points =========================

Restore point made on: 2014-09-16 10:02:04
Restore point made on: 2014-09-21 18:09:22
Restore point made on: 2014-09-24 08:07:01
Restore point made on: 2014-09-30 08:25:52
Restore point made on: 2014-10-01 12:36:53
Restore point made on: 2014-10-09 16:52:16
Restore point made on: 2014-10-09 16:58:16
Restore point made on: 2014-10-09 22:30:41
Restore point made on: 2014-10-09 22:34:29

Wybierz z dziś ten punkt Przywracania, który pochodzi już po czyszczeniu systemu, ale przed niespodziewaną awarią.

[mj23]

Przywróciłem sprzed aktualizacji Java.

 

Już wiem, co się stało. Aktualizacja krytyczna Windows 7 - podczas instalacji wystąpił problem.

[picasso]

OK, to teraz mi na wszelki wypadek zrób jeszcze nowy log z FRST (bez Addition i Shortcut).

[mj23]

Skan FRST z przywróconego systemu.

FRST.txt

[picasso]

Przywracanie systemu odkręciło akcję z posta numer #4. Powtórz skrypt FRST z naniesieniem określonych poprawek:

 

CloseProcesses:
CMD: for /d %f in (C:\Users\USER\AppData\Local\{*}) do rd /s /q "%f"
HKLM-x32\...\Run: [RemoveNetPanel] => C:\Program Files\NetPanel\\Remove.exe [1697776 2014-09-18] (Gemius)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\Program Files\NetPanel
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox
RemoveDirectory: C:\Users\USER\AppData\Roaming\Mozilla
DeleteQuarantine:
EmptyTemp:

 

 

.

[mj23]

Znowu ten sam efekt.

 

Po restarcie otrzymałem...

 

STOP: c000021a {Fatal System Error}

The Session Manager Initialization system process terminated unexpectedly with status of 0xc0000022 (0x00000000 0x00000000).

The system has been shut down.

 

Nie działa tryb awaryjny.

 

 

Przywróciłem system jak poprzednio.

Co zauważyłem na liście stanów do przywrócenia istnieje tam za każdym razem "Aktualizacja krytyczna".

 

Zaktualizowałem system i działa normalnie.

Fixlog.txt

FRST.txt

[picasso]

Użycie Przywracania systemu oczywiście znów odkręciło działanie skryptu. On ma być ponownie zastosowany, by dokończyć czyszczenie.

 

 

Już wiem, co się stało. Aktualizacja krytyczna Windows 7 - podczas instalacji wystąpił problem.

Czy to się ponownie wydarzyło? Jeśli tak, to może są źle pobrane komponenty kóre próbują się w kółko instalować. Zresetuj Windows Update poprzez zmianę nazwy folderu C:\Windows\SoftwareDistribution z poziomu Trybu awaryjnego.

 

 

 

.

[mj23]

Zaktualizowałem system + instalacja najnowszej Java'y. Wszystko działa prawidłowo. Brak nowych aktualizacji systemu.

 

Spróbuję znowu uruchomić skrypt.

 

EDIT: Zmieniłem katalog C:\Windows\SoftwareDistribution. Uruchomiem skrypt. Niestety znowu to samo.

Fixlog.txt

[picasso]

Nie rozumiem dlaczego to występuje po uruchomieniu skryptu, w nim nie ma nic związanego z tym obszarem. Błąd STOP: c000021a {Fatal System Error} jest związany głównie z niepoprawnymi plikami systemowymi... Rozumiem, że znów poszło w ruch Przywracania systemu, tylko nie wiem do którego punktu w czasie, więc przedstaw nowy raport FRST spod Windows.

[mj23]

Dokładnie cofam do tego samego... sprzed instalacji Java.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

EDIT: te nowe logi doklejam powyżej, wszystko wygląda jak poprzednio i nie zmienia treści tego posta.

 

To może zamiast skryptu zadania wykonaj ręcznie i podziel je na etapy:

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z prawokliku skasuj klucze:

 

HKEY_CURRENT_USER\Software\Mozilla

HKEY_CURRENT_USER\Software\MozillaPlugins

HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}

 

W kluczu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

 

Skasuj wartość RemoveNetPanel.

 

2. Zresetuj system. Jeśli wszystko będzie OK, zrób ręcznie nowy punkt Przywracania systemu. Po tym ręcznie usuń z dysku te foldery:

 

C:\FRST

C:\Program Files\NetPanel

C:\Program Files (x86)\Mozilla Firefox

C:\Users\USER\AppData\Local\{losowe znaki}

C:\Users\USER\AppData\Roaming\Mozilla

 

3. Zresetuj system. Jeśli wszystko będzie OK, zrób ręcznie kolejny punkt Przywracania systemu.

 

 

 

.

[mj23]

Oprócz poniższych kluczy, skasowałem wszystko z #22 punkt 1. Po restarcie wszystko działa prawidłowo.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}

 

Nie można usunąć. Błąd przy usuwaniu klucza.

[picasso]

Prawoklik na te klucze po kolei > Uprawnienia > Zaawansowane > jako Właściciela ustaw konto Administratorzy + Administratorom przypisz Pełną kontrolę. Po zmianie uprawnień ponów próbę usuwania kluczy.

[mj23]

Prawoklik na klucz.

 

Błąd uniemożliwia otwarcie klucza

Szczegóły. Odmowa dostępu.

 

Prawoklik na Browser Helper Objects.

SYSTEM, Administratorzy -> Pełna kontrola, Odczyt

Użytkownicy (USER-Komputer/Użytkownicy -> Odczyt