Piotrek89 Opublikowano 30 Września 2012 Zgłoś Udostępnij Opublikowano 30 Września 2012 Mam problem z pojawiającym się białym ekranem kilka sekund po uruchomieniu systemu. Problem pojawia się zarówno przy normalnym uruchomieniu komputera, jak i w trybie awaryjnym. Jednak po wciśnięciu klawiszy Ctrl+Alt+Del jest możliwość wybrania kilku opcji, jednak menedżera zadań nie mogę uruchomić, bo pojawia się znowu białe tło. System Vista Ultimate 32-bit. Gdy podczas ataku pojawił się biały ekran z jakimiś napisami od razy wyłączyłem komputer z zasilacza. Nie wiem o ile jest taka opcja, że wirus nie wgrał się do końca. Obecnie wirus nie pokazuje tego komunikatu i zostawia biały ekran, może dlatego że nie ma dostępu do sieci (modem z Orange). Podczas ataku pojawił się komunikat mówiący, że komputer został zablokowany z powodu naruszenia prawa polskiego. Zamieszczone Logi zostały wykonane w trybie awaryjnym z wierszem polecenia. GMER nic nie wykrył. Podczas skanowania programem OTL komputer chciał włożenia płyty do napędu bo poszukiwał następujących plików: \Device\Harddisk1\DR1 \Device\Harddisk3\DR3 \Device\Harddisk4\DR4 Jednak nie wkładałem niczego do napędu, a te pliki pomijałem, stąd skan może nie być zupełny. Nie wiem, czy Logi wystarczą, aby uruchomić komputer w normalnym trybie. Podczas pierwszego uruchomienia już po ataku wirusa komputer skanował dysk i znalazł problem w sektorze I30. Mogło być to w wyniku wirusa lub wyciągnięcia pendrive podczas ładowania trybu awaryjnego. Obecnie nie pojawia się ten komunikat. Jeżeli będzie to problem z dyskiem to najpierw będę musiał jakoś skopiować dane, a potem zrobić diagnostykę pamięci, bo nie wiem czy ta mogłaby uszkodzić dane. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 Tak, definitywnie jest tu infekcja UKASH: O20 - HKU\S-1-5-21-3379276292-1483760212-174044166-1001 Winlogon: Shell - (C:\Users\Powstańców 45A\AppData\Roaming\msconfig.dat) - C:\Users\Powstańców 45A\AppData\Roaming\msconfig.dat ()[2012-09-27 14:09:56 | 000,000,045 | ---- | M] () -- C:\Users\Powstańców 45A\AppData\Roaming\msconfig.ini 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Powstańców 45A\AppData\Roaming\msconfig.dat C:\Users\Powstańców 45A\AppData\Roaming\msconfig.ini C:\found.* :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Services jlblmwhj :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a objawy ustąpią. 2. Pozbądź się szczątków Symantec: via Panel sterowania odinstaluj LiveUpdate 3.2 (Symantec Corporation) + LiveUpdate Notice (Symantec Corporation). Po tym popraw narzędziem Norton Removal Tool. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. Podczas skanowania programem OTL komputer chciał włożenia płyty do napędu bo poszukiwał następujących plików:\Device\Harddisk1\DR1 \Device\Harddisk3\DR3 \Device\Harddisk4\DR4 Jednak nie wkładałem niczego do napędu, a te pliki pomijałem, stąd skan może nie być zupełny. Nie wiem, czy Logi wystarczą, aby uruchomić komputer w normalnym trybie. Wymienione tu obiekty \Device\HarddiskX\DRX to nie są "pliki". Więcej na temat schematu nazewniczego: KLIK. Przypuszczalnie to są zmapowane szczątki urządzeń wymiennych, urządzenia nieobecne to skan czy cokolwiek uzyskującego dostęp do tej partii rejestru może mieć zastrzeżenia "braku urządzeń". Podczas pierwszego uruchomienia już po ataku wirusa komputer skanował dysk i znalazł problem w sektorze I30. Mogło być to w wyniku wirusa lub wyciągnięcia pendrive podczas ładowania trybu awaryjnego. Co do pendrive, to tu z pewnością być podpinany zainfekowany, tylko nie wiadomo kiedy, o czym świadczą te wpisy mapowania MountPoints2 (już usuwam moim skryptem do OTL): O33 - MountPoints2\{03efc9d6-ff8a-11df-a7cc-001fd00806d8}\Shell\AutoRun\command - "" = J:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exeO33 - MountPoints2\{03efc9d6-ff8a-11df-a7cc-001fd00806d8}\Shell\open\command - "" = J:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe . Odnośnik do komentarza
Piotrek89 Opublikowano 2 Października 2012 Autor Zgłoś Udostępnij Opublikowano 2 Października 2012 W załączniku skan OTL z punktu 1. Odinstalowałem pozostałości po oprogramowaniu Symantec. Problem z zainfekowanym pendrive rzeczywiście miał miejsce, było to jakieś 6 miesięcy temu. Od jakiegoś czasu Windows Update nie chce pokazywać listy z dostępnymi aktualizacjami, choć w zgodzie z ustawieniami są one i tak automatycznie instalowane. Zostaje mi jeszcze odinstalować Javę i wgrać najnowszą, bo na tym komputerze miałem pół roku temu problem z przypadkowym naciśnięciem na tak dla aktualizacji. Akurat w tamtym miejscu pod myszką nagle pojawił się komunikat, z wirusem w cache Java. Miałbym jeszcze 2 pytania, choć nie wymagam na nie odpowiedzi i działań w tym zakresie. Są one odnośnie szczątków urządzeń wymiennych: Czy problem z urządzeniami może wpływać na czasami powolne działanie modemu usb? Czy może mieć to wpływ na czasami nie ładujący się system Vista? (Jeżeli pasek ładowania się systemu przekroczy 8-12 animacji przejścia, to czasami system się nie ładuje) 10012012_233002.log.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Października 2012 Zgłoś Udostępnij Opublikowano 3 Października 2012 Zadania wykonane i możemy kończyć: 1. Dokasuj sobie przez SHIFT+DEL te obiekty po narzędziu Nortona i AVG: [2012-10-02 00:52:34 | 000,000,000 | ---D | C] -- C:\Users\Powstańców 45A\AppData\Local\NPE[2012-10-02 00:52:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Norton[2012-10-02 18:31:38 | 000,866,592 | ---- | M] () -- C:\Users\Powstańców 45A\Desktop\Norton_Removal_Tool.exe[2011-05-22 01:09:06 | 000,000,000 | ---D | M] -- C:\Users\Powstańców 45A\AppData\Roaming\AVG10 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. W Dzienniku zdarzeń widoczny drobny błąd WMI numer 10. Instrukcje naprawcze: KB950375. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Jak już sam zauważasz, do aktualizacji Java, ale również i Adobe: KLIK. Wersje widziane aktualnie w Twoim systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 Miałbym jeszcze 2 pytania, choć nie wymagam na nie odpowiedzi i działań w tym zakresie. Są one odnośnie szczątków urządzeń wymiennych:Czy problem z urządzeniami może wpływać na czasami powolne działanie modemu usb? Czy może mieć to wpływ na czasami nie ładujący się system Vista? (Jeżeli pasek ładowania się systemu przekroczy 8-12 animacji przejścia, to czasami system się nie ładuje) - Wątpię w oba jako wynikową szczątków urządzeń wymiennych. Ten problem niestartowania systemu na etapie paska prędzej się kojarzy ze sterownikami. - Jeśli rzecz o samych "szczątkach", to możesz skorzystać z narzędzia USB-set, które w karcie Cleaning Traces udostępnia opcję Traces of previous connected removable drives. Od jakiegoś czasu Windows Update nie chce pokazywać listy z dostępnymi aktualizacjami, choć w zgodzie z ustawieniami są one i tak automatycznie instalowane. Co masz na myśli pod sformułowaniem "nie pokazuje"? Całkowicie puste okno przy próbie podglądnięcia listy aktualizacji pokazanych jako dostępne? . Odnośnik do komentarza
Piotrek89 Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 Przepraszam, że odpisuję tak późno. Chciałem dowiedzieć się we własnym zakresie coś na temat dublujących się procesów svchost.exe i iexplore.exe. Problemów z komputerem już nie mam żadnych. Programy są już zaktualizowane. Co masz na myśli pod sformułowaniem "nie pokazuje"? Całkowicie puste okno przy próbie podglądnięcia listy aktualizacji pokazanych jako dostępne? Dokładnie tak to wyglądało, ale już wszystko działa Dziękuję za pomoc. Szczerze mogę polecić to Forum innym użytkownikom internetu Temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi