Po uruchomienu komputera czarny ekran

[neo23]

Po uruchomieniu komputera z systemem Windows7 pojawia się czarny ekran, jakby plik explorer.exe nie wczytywał się. Czy można to naprawić czy trzeba zainstalować system od nowa?

 

W załącznikach przesyłam raport jaki wygenerował OTL.

 

Pozdrawiam.

OTL.Txt

Extras.Txt

[Landuss]

Logi wskazują na infekcję Brontok na tym systemie. Wykonaj poniższe czynności:

 

1. Uruchom narzędzie ComboFix.

 

2. Gdy ukończy pracę zaprezentuj z niego wynikowy log oraz nowe logi z OTL.

[neo23]

Jest problem - jeśli próbuję zapisać ComboFix na komputerze, komputer automatycznie ponownie się uruchamia. Jest na to sposób?

[Landuss]

Spróbuj to zrobić z poziomu trybu awaryjnego z obsługą sieci.

[neo23]

Też się nie udało, skorzystałem z innego komputera i ściągnąłem ten program. Ale przy instalacji na zainfekowanym komputerze, komputer znów samoczynnie się resetuje i nie ma znaczenia w jakim trybie komputer uruchomię.

 

Pozostaje tylko reinstalacja systemu?

[Landuss]

Żadna reinstalacja, to da się usunąć bez tego. Spróbujemy przez OTL. Najpierw na usuwanie pójdzie infekcja, potem inne śmieci.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\RakyatKelaparan.exe ()
O4 - HKCU..\Run: [AdobeBridge]  File not found
O4 - HKCU..\Run: [Tok-Cirrhatus]  File not found
O4 - HKCU..\Run: [Tok-Cirrhatus-2487] C:\Users\Krzpac\AppData\Local\br5997on.exe ()
O4 - Startup: C:\Users\Krzpac\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\Windows\KesenjanganSosial.exe") - C:\Windows\KesenjanganSosial.exe ()
[2012-06-29 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Krzpac\AppData\Local\Bron.tok-17-29
[2012-06-28 18:09:18 | 000,000,000 | ---D | C] -- C:\Users\Krzpac\AppData\Local\Ok-SendMail-Bron-tok
[2012-06-28 18:06:23 | 000,000,000 | ---D | C] -- C:\Users\Krzpac\AppData\Local\Loc.Mail.Bron.Tok
[2012-06-28 18:01:22 | 000,000,000 | ---D | C] -- C:\Users\Krzpac\AppData\Local\Bron.tok-17-28
[2012-06-28 17:59:02 | 000,045,435 | -H-- | C] () -- C:\Windows\KesenjanganSosial.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\AppData\Local\winlogon.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\AppData\Local\svchost.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\AppData\Local\smss.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\AppData\Local\services.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\AppData\Local\lsass.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Windows\System32\Krzpac's Setting.scr
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\AppData\Local\inetinfo.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\Documents\Documents.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\AppData\Local\csrss.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Windows\System32\cmd-brontok.exe
[2012-06-28 17:59:02 | 000,045,435 | ---- | C] () -- C:\Users\Krzpac\AppData\Local\br5997on.exe
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[neo23]

Niestety w chwili kliknięcia w Wykonaj skrypt komputer uruchamia się ponownie i skrypt nie zdąży się wykonać.

[picasso]

Zapisz skrypt w Notatniku gdzieś na dysku. Wejdź w Tryb awaryjny z obsługą Wiersza polecenia (to nie załaduje powłoki graficznej, czyli i jednego z wpisów Brontok). W linii komend wpisz polecenie notepad + ENTER, z poziomu Notatnika otwórz plik skryptu, następnie komenda F:\OTL.exe + ENTER, do okna przeklej ten skrypt.

[neo23]

Tryb awaryjny z obsługą wiersza polecenia nie chciał się uruchomić - uruchamiał się zwykły tryb awaryjny. Ale zrobiłem tak że będąc w tym trybie zakończyłem wszystkie możliwe procesy, które nie wywoływały reakcji w systemie i uruchomiłem OTL, o dziwo skrypt się wykonał. Po ponownym uruchomieniu systemu moim oczom ukazał się pulpit, a OTL wypluł taki o to plik "07022012_203023.log" (zawartość w załączniku zmieniłem rozszerzenie na txt).

 

Wykonałem również ponowny skan programem OTL i załączam logi.

 

Czy system został oczyszczony z tego problemu?

07022012_203023.txt

OTL.Txt

[Landuss]

Brontok został usunięty. Ale to jeszcze nie koniec. Teraz weźmiesz się za inne drobniejsze śmieci.

 

1. Wejdź w panel usuwania programów i odinstaluj następujące pozycje: 2YourFace 1.0 / Contextual Tool Extrafind / aTube Toolbar / StartSearch Toolbar 1.3 / vShare.tv plugin 1.3

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Wklejasz do OTL nastepujący skrypt:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=70db426b-f80c-11e0-a70d-00248c2c547a
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=70db426b-f80c-11e0-a70d-00248c2c547a&q={searchTerms}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=70db426b-f80c-11e0-a70d-00248c2c547a&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //eu.ask.com/web?l=dis&o=APN10147&gct=hp&apn_dtid=^YYYYYY^YY^PL&apn_ptnrs=^A6E&apn_uid=4052352334434923&p2=^A6E^YYYYYY^YY^PL
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=70db426b-f80c-11e0-a70d-00248c2c547a&q={searchTerms}
IE - HKCU\..\SearchScopes\{3A4B6D54-0E84-487D-AF53-2DDC18607AC2}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=110021&tt=290312_bexdll&babsrc=SP_ss&mntrId=8e6856760000000000000022fa3d9e02
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
IE - HKCU\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = http: //eu.ask.com/web?l=dis&o=APN10147&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^PL&apn_ptnrs=^A6E&apn_uid=4052352334434923&p2=^A6E^YYYYYY^YY^PL&q={searchTerms}
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "www.facebook.com"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=2&q="
[2012-06-03 19:26:49 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Users\Krzpac\AppData\Roaming\mozilla\Firefox\Profiles\lbozzbky.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2012-06-26 22:17:00 | 000,000,000 | ---D | M] (aTube Toolbar) -- C:\Users\Krzpac\AppData\Roaming\mozilla\Firefox\Profiles\lbozzbky.default\extensions\{bfc39e47-d643-4dc2-aa1d-61377501c844}
[2012-04-03 20:49:51 | 000,000,792 | ---- | M] () -- C:\Users\Krzpac\AppData\Roaming\Mozilla\Firefox\Profiles\lbozzbky.default\searchplugins\startsear.xml
[2012-04-03 20:49:59 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{db3fbd64-19a1-04bb-1fd7-8366f78fc38b}
[2012-06-26 22:17:08 | 000,002,274 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\ask.xml
[2012-03-31 09:03:17 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

[neo23]

Punkty 1., 2., 3. oraz 4. wykonane. Przesyłam log z OTL.

OTL.Txt

[Landuss]

Teraz można powiedzieć, ze jest czysto. Przejdź do kroków końcowych:

 

1. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner

 

2. Usuń z dysku ten szczątkowy folder C:\Users\Krzpac\AppData\Local\Bron.tok-17-2

 

3. Opróżnij folder przywracania systemu: KLIK

[neo23]

Dziękuję za pomoc!!

[picasso]

Ja tu bym jednak zrobiła skanowanie antywirusowe. Brontok upuszcza różne zainfekowane EXE, czego w logach zwykle nie widać. Wykonaj skanowanie w Kaspersky Virus Removal Tool. W konfiguracji zaznacz wszystkie obszary do skanowania, co znacznie wydłuży skan ale i jest pewniejsze. Przedstaw wynikowy raport z "Detected..." (o ile coś takiego zostanie wykryte).

 

 

 

.

[neo23]

Po 16 godzinnym skanowaniu program wykrył kilkanaście zainfekowanych plików exe wirusem Brontok. Wszystkie pliki zostały wykasowane, przeskanowałem jeszcze raz i nic nie znalazł. Przeskanowałem system jeszcze innym antywirusem /comodo/, który również już nic nie wykrył.

 

Dziękuję!!