marekj

Myślałem, że wszystko się przeinstalowało... Ehhh. Muszę skuteczniej zadziałać. Jak zrobię to przedstawię wynik OTL'a.

Punkt pierwszy zrobiony. Wyrwałem chwasta... Punkt drugi, z braku czasu, wykonam jutro (służba nie dróżba ) Ciągle jestem w szoku, że system 'zadziabał' Dzięeeeeki wielkie. OTL0312.Txt

Oj. Sorrrki. Już wykonuję... MiniRegTool by Farbar Ran by x (administrator) on 2011-12-02 17:42:20 ==================================== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_18666276 not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_52712729 not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_54914874 not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82830942 not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SZKG5 not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SZKGFS not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MBR not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ygxnsuvd deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\82830942.sys deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\82830942.sys deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_18666276 not found. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_52712729 not found. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_54914874 not found. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_82830942 not found. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SZKG5 not found. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SZKGFS not found. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MBR not found. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ygxnsuvd deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\82830942.sys deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\PEVSystemStart deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\82830942.sys deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\PEVSystemStart deleted successfully. reset zrobiony DZIAŁA Centrum zabezpieczeń krzyczy... Ochrona przed złośliwym oprogramowaniem... Sprawdź ustawienia. Lavasoft Ad-Watch Live wyłączony. Włączyć?? Usługa Windows Defender jest nieaktualna. Aktualizować??

Nie wszystkie sterowniki związane z siecią udało się wtedy odinstalować. Tam gdzie w nazwie występuje właśnie "Miniport WAN" (występują też w nazwie WAN Miniport) nie da się tego wyrwać. :/ Security Processor Loader Driver - tego też nie widać w Sterowniki niezgodne z PnP (o tym już pisałem) Po wykonaniu instrukcji z punktów 1 i 2 na listę sterowników wskoczył Security Processor Loader Driver (ale z wykrzyknikiem - podobno w trybie awaryjnym tak ma być). Komputer nadal pracuje tylko w trybie awaryjnym. PW wysłana.

Wynik w pliku. OTL2911.Txt

To ja już nie zrozumiem komputerów. Wyświetlił, że nagrał co trzeba w cbs.log a nie nagrał. Kłamczuszek ten komputer... Okazał ludzką naturę Operacja faktycznie mało skuteczna. Komputer działa tylko w trybie awaryjnym.

Ten komunikat nie podawał więcej informacji. Wszystko co się pokazało na ekranie przepisałem. Zrobiłem SCANNOW. Po przeskanowaniu wyskoczył komunikat, że było uszkodzenie, które zostało naprawione (szczegóły w CBS.log) CBS

1. Windows is loading files. 2. Enter your language and other preferences and click "Next" to continue. 3. Pojawiło się okienko z guzikiem INSTALL NOW i na dole Repair your computer. (wybrałem Repair) 4. Wyskoczyło okno 'System Recovery Options" z którego mam wybrać system do naprawy... I tu sprawa jest dziwna. Pokazany jest tylko z partycji D: SW_Preloader Brak na liście partycji C na której znajduje się walnięty system. Ale jazda :/ Już widzę, że SW_Preloader to właściwa partycja z walniętym systemem. Robię od nowa 1-3. Komunikat: Startup Repair could not detected a problem. If you have recently attached a device to this computer, such as a camera or portable music player, remove it and restart your computer. If you continue to see this message, contact your system administrator or computer manufacturer for assistance. ?

Bankowo na liście nie ma Security Processor Loader Driver. 1. Skan zrobiony. 2. Minidump najnowsze spakowane. 3. Kaspersky ma jeszcze 4h skanowania (głównie fotografie). Wykrył Trojan.Win32.Patched.mf w Lavasoft/Ad-Aware/Update/Ad-AwareAdmin.exe.to_be_patched Zrobione Disinfected link No i zawsze coś, zawsze coś. Przy 57% padła bateria w komputerze. Po ponownym uruchomieniu rozpocząłem skanować od nowa. Do momentu 'padnięcia' wykrytych było 32 "threats". Po ponownym skanowaniu jest tylko jeden: Packed.Win32.PasswordProtectedExe.gen. Czy jest możliwość zerknięcia w historię poprzedniego skanowania? OTLdrivers.Txt

Te dane MD5 nie służą do tego, by je porównać "między sobą", tylko do porównań z oryginalnym systemem Vista (w tym przypadku moja wirtualna maszyna i mój osobisty skan MD5). Aaaaa. To tego nie wiedziałem, dobrze że są mądrzejsi ode mnie MD5=7AEBDEEF071FE28B0EEF2CDD69102BFF Usunięty. Restart. Znowu tylko tryb awaryjny. Skanuj w poszukiwaniu zmian sprzętu ?? A taki skan jak się robi? Sterowniki sieciowe i DVD poszedł z automatu... A teraz co zrobić? (Chyba tacie kupię Apple'a) Dobra. Widzę gdzie to jest. Skanuję. Po przeskanowaniu sterownik Security Processor Loader Driver już nie jest wyświetlany...

Odinstalowałem wszystko co się dało z "Karty sieciowe". Przed odinstalowaniem nie było żadnych wykrzykników / pytajników. Odinstalowałem sterownik DVD... Był wykrzyknik i komentarz, że sterownik może być uszkodzony. Po restarcie niestety komputer znowu się uruchomić daje w trybie awaryjnym. Po uruchomieniu wyszukał sobie urządzenia sieciowe i wgrał odpowiednie sterowniki. Z napędem DVD podobni. Już wykrzyknika nie ma. Jedyny wykrzyknik jaki widzę jest w "Sterowniki niezgodne z PnP" i jest to Security Processor Loader Driver Po restarcie znowu niebieski ekran ale już nie po komunikacie Zapraszamy. Pokazał się pulpit i system zaczął ładować jakieś programiki (?)... Na belce w prawym dolnym rogu zaczęły się pojawiać ikonki... Wiem, że nadgorliwość gorsza od faszyzmu ale pokusiłem się o uruchomienie OTL w konfiguracji jak do sprawdzenia poprzedniego sterownika raspptp.sys (oczywiście ze zmodyfikowanym skryptem - wstawiając spldr.sys). Sterownik jest w dwóch lokalizacjach... ich MD5 jest taki sam; tak samo rozmiar jak i data utworzenia) Nie wiem czy dobrze zrobiłem, ale zawsze to jakaś wskazówka...

OTL logfile created on: 2011-11-23 15:26:53 - Run 2 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\x\Desktop Windows Vista Home Basic Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 7.0.6002.18005) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 1,96 Gb Total Physical Memory | 1,52 Gb Available Physical Memory | 77,53% Memory free 4,15 Gb Paging File | 3,87 Gb Available in Paging File | 93,23% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 137,82 Gb Total Space | 69,69 Gb Free Space | 50,57% Space Free | Partition Type: NTFS Drive Q: | 9,77 Gb Total Space | 3,73 Gb Free Space | 38,18% Space Free | Partition Type: NTFS Drive S: | 1,46 Gb Total Space | 0,65 Gb Free Space | 44,46% Space Free | Partition Type: NTFS Computer Name: X-PC | User Name: x | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Custom Scans ========== < End of report > Uuups. Chyba zjadłem literkę.... Robię jeszcze raz :/ i doszły takie wpisy: < MD5 for: RASPPTP.SYS > [2008-01-21 03:34:44 | 000,062,976 | ---- | M] (Microsoft Corporation) MD5=ECFFFAEC0C1ECD8DBC77F39070EA1DB1 -- C:\Windows\System32\drivers\raspptp.sys [2008-01-21 03:34:44 | 000,062,976 | ---- | M] (Microsoft Corporation) MD5=ECFFFAEC0C1ECD8DBC77F39070EA1DB1 -- C:\Windows\winsxs\x86_microsoft-windows-rasbase-raspptp_31bf3856ad364e35_6.0.6001.18000_none_99ef1ed8e7d6dd1c\raspptp.sys

link

Przy starcie praktycznie ciężko cokolwiek zobaczyć oprócz 'niebieskiego ekranu'... Po pięknym komunikacie "ZAPRASZAMY' pojawia się BlueScreen, którego fotkę widać niżej. Po kilku sekundach automatycznie się resetuje pokazując ekran wyboru trybu pracy.

Niestety system uruchamia się nadal w trybie awaryjnym. Drugie niestety... narzędzia diagnostyczne Lenovo nie działają w tym trybie. Podany skrypt uruchomiłem. Niczego to nie zmienia :/

OK. Plik w załączniku. Co do szukania... Moim pierwszym systemem był OS 7.5 na Macu. Z biegiem czasu nastąpiła zmiana na 10.7... Za Chiny bym nie wpadł, że trzeba gdzieś tam odhaczać żeby wyświetlało jakieś ukryte pliki, etc. Windows jest i będzie dla mnie czarną magią... Całe szczęście, że istnieją mocne umysły sfc.txt

Postęp jest... teraz wywala się przy 87% --------------------------------------------------------------- 2011-11-22 21:20:38, Info CSI 0000018e [sR] Verify complete 2011-11-22 21:20:38, Info CSI 0000018f [sR] Verifying 100 (0x00000064) components 2011-11-22 21:20:38, Info CSI 00000190 [sR] Beginning Verify and Repair transaction 2011-11-22 21:20:42, Info CSI 00000191 [sR] Cannot repair member file [l:14{7}]"afd.sys" of Microsoft-Windows-Winsock-Core, Version = 6.0.6002.18457, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked 2011-11-22 21:20:45, Error CSI 00000192 (F) STATUS_ACCESS_DENIED #3732703# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = (AllowFileNotFound), handle = {provider=NULL, handle=0}, da = (FILE_GENERIC_READ), oa = @0x145e35c->OBJECT_ATTRIBUTES {s:24; rd:NULL; on:[115]"\SystemRoot\WinSxS\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.0.6002.18457_none_d99fb42e5bb59d9b\afd.sys"; a:(OBJ_CASE_INSENSITIVE)}, iosb = @0x145e314, as = (null), fa = 0, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), cd = FILE_OPEN, co = (FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT), eab = NULL, eal = 0, disp = Invalid) [gle=0xd0000022] 2011-11-22 21:20:45, Error CSI 00000193@2011/11/22:20:20:45.540 (F) d:\longhorn\base\wcp\sil\merged\ntu\ntsystem.cpp(1849): Error STATUS_ACCESS_DENIED originated in function Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile expression: (null) [gle=0x80004005] 2011-11-22 21:20:54, Error CSI 00000194 (F) STATUS_ACCESS_DENIED #3732702# from Windows::Rtl::SystemImplementation::CDirectory::OpenExistingFile(...)[gle=0xd0000022] 2011-11-22 21:20:54, Error CSI 00000195 (F) STATUS_ACCESS_DENIED #3732701# from Windows::Rtl::SystemImplementation::CDirectory_IRtlDirectoryTearoff::OpenExistingFile(flags = (MissingFileIsOk), da = (FILE_GENERIC_READ), oa = @0x145e504->SIL_OBJECT_ATTRIBUTES {s:20; on:"afd.sys"; a:(OBJ_CASE_INSENSITIVE)}, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), oo = (FILE_SYNCHRONOUS_IO_NONALERT|FILE_NON_DIRECTORY_FILE), file = NULL, disp = Invalid) [gle=0xd0000022] 2011-11-22 21:20:54, Error CSI 00000196 (F) STATUS_ACCESS_DENIED #3732646# from PrimitiveInstaller::CCoordinator::RepairComponent(Component = Microsoft-Windows-Winsock-Core, Version = 6.0.6002.18457, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral)[gle=0xd0000022] ---------------------------------------------------------------------------

I tak: Plik dfsc.sys dodałem do katalogu drivers za nic jednak nie mogę dodać go do tego x86.......... (już w tym katalogu takowy siedzi; może nie ma potrzeby go 'nadpisywać' (??) sfc /scannow -----> ciągle wywala się przy 47% ---------------------------------------------------------------------------------------------------------------------------------------- 2011-11-22 20:30:40, Info CSI 00000169 [sR] Verify complete 2011-11-22 20:30:40, Info CSI 0000016a [sR] Verifying 100 (0x00000064) components 2011-11-22 20:30:40, Info CSI 0000016b [sR] Beginning Verify and Repair transaction 2011-11-22 20:30:40, Info CSI 0000016c [sR] Cannot repair member file [l:16{8}]"dfsc.sys" of Microsoft-Windows-DFSClient, Version = 6.0.6002.18451, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file cannot be checked 2011-11-22 20:30:42, Error CSI 0000016d (F) STATUS_ACCESS_DENIED #4027037# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = (AllowFileNotFound), handle = {provider=NULL, handle=0}, da = (FILE_GENERIC_READ), oa = @0xf9e72c->OBJECT_ATTRIBUTES {s:24; rd:NULL; on:[113]"\SystemRoot\WinSxS\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f\dfsc.sys"; a:(OBJ_CASE_INSENSITIVE)}, iosb = @0xf9e6e4, as = (null), fa = 0, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), cd = FILE_OPEN, co = (FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT), eab = NULL, eal = 0, disp = Invalid) [gle=0xd0000022] 2011-11-22 20:30:42, Error CSI 0000016e@2011/11/22:19:30:42.400 (F) d:\longhorn\base\wcp\sil\merged\ntu\ntsystem.cpp(1849): Error STATUS_ACCESS_DENIED originated in function Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile expression: (null) [gle=0x80004005] 2011-11-22 20:30:46, Error CSI 0000016f (F) STATUS_ACCESS_DENIED #4027036# from Windows::Rtl::SystemImplementation::CDirectory::OpenExistingFile(...)[gle=0xd0000022] 2011-11-22 20:30:46, Error CSI 00000170 (F) STATUS_ACCESS_DENIED #4027035# from Windows::Rtl::SystemImplementation::CDirectory_IRtlDirectoryTearoff::OpenExistingFile(flags = (MissingFileIsOk), da = (FILE_GENERIC_READ), oa = @0xf9e8d4->SIL_OBJECT_ATTRIBUTES {s:20; on:"dfsc.sys"; a:(OBJ_CASE_INSENSITIVE)}, sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), oo = (FILE_SYNCHRONOUS_IO_NONALERT|FILE_NON_DIRECTORY_FILE), file = NULL, disp = Invalid) [gle=0xd0000022] 2011-11-22 20:30:46, Error CSI 00000171 (F) STATUS_ACCESS_DENIED #4027000# from PrimitiveInstaller::CCoordinator::RepairComponent(Component = Microsoft-Windows-DFSClient, Version = 6.0.6002.18451, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral)[gle=0xd0000022] 2011-11-22 20:32:16, Info CBS Scavenge: Package store indicates there is no component to scavenge, skipping. -------------------------------------------------------

C:\Windows\system32\drivers\dfsc.sys (??) Zerkam i zerkam, ale pliku dfsc.sys w tej lokalizacji nie posiadam :/ Kazałem przeszukać dysk C... i nigdzie go nie ma :/ sfc /scannow staje w tym samym miejscu (47%) i poczytałem: Because the dfsc.sys file is a Windows Operating System file it is not recommend you download this file from any website. If this file is missing, it is likely other Windows related files are also missing, we suggest re-installing Windows to make sure your issue is correctly resolved. Ehhhh :/

link

1. Kaspersky TDSSKiller nic nowego nie ujawnił. 2. Podczas wykonywania sfc /scannow skanowanie stanęło na 47% i wyskoczył komunikat: Funkcja Ochrona zasobów systemu Windows nie może wykonać żądanej operacji. :/ (poprawka: weryfikowanie skanowania stanęło na 47%)

Webroot AntiZeroAccess 0.8 Log File Execution time: 22/11/2011 - 15:48 Host operation System: Windows Vista X86 version 6.0.6002 Service Pack 2 15:48:22 - CheckSystem - Begin to check system... 15:48:22 - OpenRootDrive - Opening system root volume and physical drive.... 15:48:22 - C Root Drive: Disk number: 0 Start sector: 0x002EE000 Partition Size: 0x113A3000 sectors. 15:48:22 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys". 15:48:23 - InstallAndStartDriver - Unable to start AntiZeroAccess driver. StartService last error: 1084 15:48:29 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 15:48:29 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 15:48:29 - Execution Ended! Jeśli chodzi o pliki z kłódeczką... Nie widzę takowych w podanej lokalizacji :/ (nie wiem czy to dobrze czy źle)

Witam Adminów i użytkowników. Po krótce: Do komputera taty, na którym zainstalowana jest Vista Basic (32) dobrała się wnuczka i odrobinę namieszała... Dziecko + Internet = TROJAN Przez kilka dni Windows Defender wyświetlał komunikat o obecności Win32/Sirefef.O Usunąć się drania nie dało; nie przeszkadzało to jednak w pracy. Do czasu. Od niedawna komputer można uruchomić jedynie w trybie awaryjnym. Przeglądając sieć wpadłem na tą stronę i widzę, że nie tylko ja (tata) ma problem z tym Trojanem. W załączeniu logi ComboFix, TDS i OTL. Czy na ich podstawie można przywrócić stabilność (działanie) systemu czy pozostaje instalacja? Pozdrawiam ComboFix.txt OTL.Txt Extras.Txt TDS.txt