Fałszywy tryb awaryjny

[misiek3510]

Jak w temacie. System Vista Home Premium 32 bity uruchamia się za każdym razem w trybie awaryjnym. Brak przycisku start, oraz komunikat o nie włączonym centrum zabezpieczeń.

 

Z góry dzięki za pomoc.

OTL.Txt

Extras.Txt

Gmer.txt

[picasso]

Log z GMER zrobiony w złych warunkach - przy czynnym Alcoholu i jego sterowniku SPTD. W raportach brak śladów czynnej infekcji. Są jedynie ślady infekcji w postaci mapowania podpiętego kiedyś tam zainfekowanego urządzenia przenośnego oraz ukryty plik autorun.inf na D o nieznanej zawartości:

 

O32 - AutoRun File - [2011-08-01 10:53:32 | 000,000,063 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
 
O33 - MountPoints2\{392ce151-6fe1-11de-a842-00248c7ab9ec}\Shell\AutoRun\command - "" = r3q63rok.exe
O33 - MountPoints2\{392ce151-6fe1-11de-a842-00248c7ab9ec}\Shell\open\Command - "" = r3q63rok.exe

Ponadto, sponsoringowe paski narzędziowe i puste wpisy. Tym na razie się nie zajmuję przy głównej usterce:

 

 

System Vista Home Premium 32 bity uruchamia się za każdym razem w trybie awaryjnym.

 

Nie wygląda na to, by coś tu było "fałszywe", gdyż OTL wykrywa status Trybu awaryjnego:

 

Boot Mode: SafeMode with Networking | Scan Mode: All users

Jeśli Vista cały czas startuje w awaryjnym, to czy próbowałeś po prostu to przestawić? Należy uruchomić msconfig i odznaczyć opcję "Bezpieczny rozruch":

 

 

 

 

.

[misiek3510]

Dokładnie o to chodziło, czasami najprostsze rozwiązania są najlepsze. Z drugiej strony ciekawe co załączyło na stałe ten tryb?

[picasso]

Podstawowy "problem" z głowy. Możemy przejść do czyszczenia reszty (sponsorzy / odpadki / ślady infekcji z USB).

 

1. Przeprowadź w Panelu sterowania deinstalację tych śmieci sponsoringowych: Conduit Engine, Dealio Toolbar, uTorrentBar Toolbar, Vuze Remote Toolbar.

 

2. Następnie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
SRV - File not found [Auto | Stopped] --  -- (SeaPort)
SRV - File not found [On_Demand | Stopped] --  -- (NMIndexingService)
SRV - File not found [unknown | Stopped] --  -- (getPlusHelper)
SRV - File not found [On_Demand | Stopped] --  -- (fsssvc)
IE - HKU\S-1-5-21-2085380067-2040453817-586330251-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} -  File not found
IE - HKU\S-1-5-21-2085380067-2040453817-586330251-1000\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -  File not found
O2 - BHO: (UrlHelper Class) - {474597C5-AB09-49d6-A4D5-2E8D7341384E} -  File not found
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -  File not found
O2 - BHO: (MediaBar) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} -  File not found
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} -  File not found
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} -  File not found
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -  File not found
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  File not found
O3 - HKLM\..\Toolbar: (@msdxmLC.dll,-1@1033,&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} -  File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} -  File not found
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} -  File not found
O3 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  File not found
O4 - HKLM..\Run: [amd_dc_opt]  File not found
O4 - HKLM..\Run: [skytel]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [DAEMON Tools Pro Agent]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [EA Core]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [fsm]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [Gadu-Gadu]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [iMesh]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [iPLA!]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [iVONA ControlCenter]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [iVONA Reader]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [msnmsgr]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [RGSC]  File not found
O4 - HKU\S-1-5-21-2085380067-2040453817-586330251-1000..\Run: [software Informer]  File not found
O4 - Startup: C:\Users\Arturek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\UniSpiker-2.6.lnk =  File not found
O9 - Extra Button: Wpis w blogu - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} -  File not found
O9 - Extra 'Tools' menuitem : &Wpis w blogu w Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} -  File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} -  File not found
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} -  File not found
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} -  File not found
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} -  File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=966134"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..extensions.enabledItems: {28D35620-51D9-11DE-9D13-2DB156D89593}:3.1
FF - prefs.js..extensions.enabledItems: radiobar@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.5.0.12
FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.5.0.12
[2011-07-27 13:02:56 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Users\Arturek\AppData\Roaming\mozilla\Firefox\Profiles\uimvohoy.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2011-07-13 13:46:17 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Arturek\AppData\Roaming\mozilla\Firefox\Profiles\uimvohoy.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2010-04-02 09:33:29 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\Arturek\AppData\Roaming\mozilla\Firefox\Profiles\uimvohoy.default\extensions\{28D35620-51D9-11DE-9D13-2DB156D89593}
[2010-05-15 23:10:48 | 000,000,000 | ---D | M] (RadioBar Toolbar) -- C:\Users\Arturek\AppData\Roaming\mozilla\Firefox\Profiles\uimvohoy.default\extensions\radiobar@toolbar
[2011-07-31 12:08:37 | 000,002,569 | ---- | M] () -- C:\Users\Arturek\AppData\Roaming\Mozilla\Firefox\Profiles\uimvohoy.default\searchplugins\askcom.xml
[2011-06-22 14:14:10 | 000,000,879 | ---- | M] () -- C:\Users\Arturek\AppData\Roaming\Mozilla\Firefox\Profiles\uimvohoy.default\searchplugins\conduit.xml
[2010-03-24 11:34:04 | 000,002,456 | ---- | M] () -- C:\Users\Arturek\AppData\Roaming\Mozilla\Firefox\Profiles\uimvohoy.default\searchplugins\iMeshWebSearch.xml
[2010-05-15 23:10:53 | 000,001,589 | ---- | M] () -- C:\Users\Arturek\AppData\Roaming\Mozilla\Firefox\Profiles\uimvohoy.default\searchplugins\web-search.xml
[2009-09-07 21:41:43 | 000,000,000 | ---D | M] (Dealio Toolbar Plugin) -- C:\Program Files\Mozilla Firefox\extensions\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
[2010-03-24 11:34:04 | 000,002,456 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml
O32 - AutoRun File - [2011-08-01 10:53:32 | 000,000,063 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Spodziewany restart systemu, po którym otrzymasz log z wynikami.

 

3. Pakiet Podstawowe programy Windows Live, mimo że świeci wejściami na liście zainstalowanych, wygląda na poszkodowany. Spróbuj go odinstalować (potem ewentualnie się nadinstaluje z nowego instalatora) wg tych kroków: KLIK.

 

4. Wytwarzasz nowe logi do oceny: z OTL opcją Skanuj (nie potrzebuję już Extras) oraz AD-Remover trybu skanu. Dorzuć log z wynikami usuwania z punktu 2.

 

 

 

.

Edytowane 8 Września 2011 przez picasso
8.09.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso