Brak menu start i ikon na pulpicie, widoczna jedynie tapeta

[january]

Po włączeniu komputera, nie pokazuję się nic, oprócz tapety. Wykonałem skan narzędziem OTL, która załączam. Niestety brak jakichkolwiek komunikatów podczas uruchamiania systemu, które mogłyby naprowadzić na źródło problemów.

Skan wykonałem odpalając z pendrive Mini Windows XP (z Hiren Boot CD). Niestety nie udało mi się zapisać logu z narzędzia GMER. Przeprowadziłem także test dysku i pamięci - żadnych nieprawidłowości.

Chciałem przeprowadzić format, niestety cdrom jest zepsuty, a instalacja z pendrajwa kończy się blue screenem...

Proszę o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Brak oznak infekcji, z logów też nic nie wynika.

 

 

Po włączeniu komputera, nie pokazuję się nic, oprócz tapety.

 

Czy w tym stadium działa Alt+Ctrl+Del wywołujące menedżer zadań? Czy działa Tryb awaryjny?

 

 

Niestety nie udało mi się zapisać logu z narzędzia GMER.

 

GMER nie jest przeznaczony do uruchamiania w środowiskach zewnętrznych. Specyfika skanu zresztą wymaga uruchomienia go spod działającego Windows.

 

 

 

.

[january]

Alt+Ctrl+Del wywołujące menedżer zadań, działa też tryb awaryjny.

W Procesach jest:

 

taskmgr
wmiprvse
wuauclt
explorer
userinit
spoolsv
svchost
svchost
svchost
lsass
services
winlogon
csrss
smss
System
Proces bezczynności

Jak tylko skończy się skan GMER w trybie awaryjnym, (potrwa około 4 godzin) dołączę log.

[picasso]

Skoro działa menedżer zadań, to proponuję zrobić log OTL spod systemu, bo nowsza wersja (ta w OTLPE jest zbyt stara) i więcej pokazuje, a poza tym jeszcze Dziennik zdarzeń może wyciągnąć (to nie jest możliwe spod OTLPE). Pobierz najnowszą wersję OTL (KLIK) i przez menedżer zadań ją uruchom. By powstał log Extras, należy mieć opcję "Rejestr - skan dodatkowy" ustawioną na 'Użyj filtrowania".

 

 

.

[january]

Jak go uruchomić przez menedżer zadań?

 

EDIT

Log z GMER. Podać jeszcze jeden z OTL?

gmer_january.log.txt

[picasso]

Jak go uruchomić przez menedżer zadań?

 

Z menu menedżera Plik > Nowe zadanie > pełna ścieżka dostępu do OTL.exe.

 

Log z GMER sugeruje czynnego rootkita w MBR. Sprawdź co widzi Kaspersky TDSSKiller.

 

 

.

[january]

Kaspersky TDSSKiller znalazł i usunął - z tego co patrzyłem na forum, znany Sinowal.B

 

Niestety nie rozwiązało to problemu. Wykonałem także zgodnie z instrukcjami skan narzędziem OTL, uruchamiając ją na zarażonym systemie, przez Menedżer Zadań. W załączniku log TDSKiller jak i OTL.

 

EDIT

Wcześniejszy skan TDSSKillerem był niepełny (nie zaznaczyłem wszystkich opcji). Znalazło kilka problemów, które zostały usunięte. Nowy log zastąpiłem starym w załącznikach.

 

EDIT 2

Zrobiłem skan GMERem, użyłem opcji kopiuj i przez Menadżer Zadań uruchomiłem Notatnik. Wkleiłem zawartość, wybrałem Plik -> Zapisz jako... i pokazał się na chwilę czarne okno cmd i uruchomił TDSSKiller i pokazuje komunikat "Another instance of utility is running". Dziwna sytuacja.

 

W porównaniu z pierwszym logiem GMERa, zniknął wpis

Disk \Device\Harddisk0\DR0 PE file @ sector 234420505

Ale wciąż jest:

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 234420483

OTL.Txt

Extras.Txt

TDSSKiller.2.8.10.0_05.10.2012_14.21.11_log.txt

[picasso]

Log z OTL nie wnosi tu nic nowego. W tym momencie podejrzewam COMODO Internet Security jako ognisko usterki. Z poziomu menedżera zadań Plik > Nowe zadanie > uruchom aplet Dodaj / Usuń programy C:\WINDOWS\system32\appwiz.cpl i odinstaluj COMODO. Zresetuj system.

 

 

Wcześniejszy skan TDSSKillerem był niepełny (nie zaznaczyłem wszystkich opcji). Znalazło kilka problemów, które zostały usunięte. Nowy log zastąpiłem starym w załącznikach.

 

Nie, ten log w załącznikach jest bezużyteczny, przecież on w ogóle nie ma nagranych zmian. Proszę o log właściwy z usuwania, podmień załączniki powyżej. I Ty lepiej pokaż co to było "kilka problemów, które zostały usunięte", bo mam straszne podejrzenia w kwestii omyłkowego naruszenia sterowników niepodpisanych cyfrowo.

 

 

W porównaniu z pierwszym logiem GMERa, zniknął wpis

Disk \Device\Harddisk0\DR0 PE file @ sector 234420505

Ale wciąż jest:

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 234420483

 

I te ślady już pozostaną w sektorach dysku. Są to nieczynne ślady.

 

 

 

.

[january]

Niestety nie mogłem usunąć Comodo przez Dodaj/Usuń programy, ponieważ wyskoczył komunikat -

Nie można uzyskać dostępu do usługi Instalator Windows. Może mieć to miejsce, jeśli system Windows jest uruchomiony w trybie awaryjnym lub Instalator Windows jest niepoprawnie zainstalowany. Skontaktuj się z działem Pomocy technicznej, aby uzyskać pomoc.

Sprawdzając czy tak będzie z każdym programem, wybrałem najnowsze gadugadu. Ku wielkiemu zaskoczeniu, po odinstalowaniu i ponownym uruchomieniu komputera... Pokazał się pulpit! Czyli problem teoretycznie rozwiązany. Niestety to nie koniec problemów. Podłączając pendrive do usb, nie pokazuje go w Moim Komputerze, ale z pewnością go wykrywa (widać go w programie Unreal Commander, który jest darmowym odpowiednikiem Total Commander).

Na już prawie zdrowym systemie usunąłem Comodo za pomocą programów - Revo Uninstaller Pro i AppRemover.

Jak uzdrowić system do pełnej funckjonalności?

 

Co do logów TDSSKillera. Udało mi się odnaleźć log, jest w załączniku.

 

EDIT

Niestety, straciłem dostęp do systemu... Pojawia się komunikat "Wystąpił problem, który uniemożliwił systemowi Windows dokładne sprawdzenie stanu licencji dla tego komputera. Kod błędu: 0x80070005" Stało się tak po użyciu funkcji "Sprzątaj" narzędzie OTL.

TDSSKiller.2.8.10.0_05.10.2012_14.14.10_log.txt

[picasso]

Niestety, straciłem dostęp do systemu... Pojawia się komunikat "Wystąpił problem, który uniemożliwił systemowi Windows dokładne sprawdzenie stanu licencji dla tego komputera. Kod błędu: 0x80070005" Stało się tak po użyciu funkcji "Sprzątaj" narzędzie OTL.

 

Niestety, zbytnio się pośpieszyłeś: KLIK. Nie otrzymałbyś tej instrukcji Sprzątanie. Cofaj system wstecz bazując na tych instrukcjach: KLIK.

 

 

Co do logów TDSSKillera. Udało mi się odnaleźć log, jest w załączniku.

 

Zgodnie z moim podejrzeniem, usunąłeś prawidłowe sterowniki programów:

 

14:16:08.0281 1704  ============================================================
14:16:08.0281 1704  Scan finished
14:16:08.0281 1704  ============================================================
14:16:08.0421 1696  Detected object count: 6
14:16:08.0421 1696  Actual detected object count: 6
14:18:00.0125 1696  C:\Program Files\Browny02\BrYNSvc.exe - copied to quarantine
14:18:00.0156 1696  HKLM\SYSTEM\ControlSet001\services\BrYNSvc - will be deleted on reboot
14:18:00.0171 1696  HKLM\SYSTEM\ControlSet002\services\BrYNSvc - will be deleted on reboot
14:18:00.0171 1696  HKLM\SYSTEM\ControlSet003\services\BrYNSvc - will be deleted on reboot
14:18:00.0187 1696  C:\Program Files\Browny02\BrYNSvc.exe - will be deleted on reboot
14:18:00.0187 1696  BrYNSvc ( UnsignedFile.Multi.Generic ) - User select action: Delete 
14:18:00.0312 1696  d:\Program Files\GNU\GnuPG\dirmngr.exe - copied to quarantine
14:18:00.0328 1696  HKLM\SYSTEM\ControlSet001\services\DirMngr - will be deleted on reboot
14:18:00.0328 1696  HKLM\SYSTEM\ControlSet002\services\DirMngr - will be deleted on reboot
14:18:00.0328 1696  HKLM\SYSTEM\ControlSet003\services\DirMngr - will be deleted on reboot
14:18:00.0328 1696  d:\Program Files\GNU\GnuPG\dirmngr.exe - will be deleted on reboot
14:18:00.0328 1696  DirMngr ( UnsignedFile.Multi.Generic ) - User select action: Delete 
14:18:00.0390 1696  C:\Program Files\ERA\GlobeTrotter Connect\GtDetectSc.exe - copied to quarantine
14:18:00.0390 1696  HKLM\SYSTEM\ControlSet001\services\GtDetectSc - will be deleted on reboot
14:18:00.0390 1696  HKLM\SYSTEM\ControlSet002\services\GtDetectSc - will be deleted on reboot
14:18:00.0390 1696  HKLM\SYSTEM\ControlSet003\services\GtDetectSc - will be deleted on reboot
14:18:00.0390 1696  C:\Program Files\ERA\GlobeTrotter Connect\GtDetectSc.exe - will be deleted on reboot
14:18:00.0390 1696  GtDetectSc ( UnsignedFile.Multi.Generic ) - User select action: Delete 
14:18:00.0500 1696  C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe - copied to quarantine
14:18:00.0500 1696  HKLM\SYSTEM\ControlSet001\services\IDriverT - will be deleted on reboot
14:18:00.0500 1696  HKLM\SYSTEM\ControlSet002\services\IDriverT - will be deleted on reboot
14:18:00.0500 1696  HKLM\SYSTEM\ControlSet003\services\IDriverT - will be deleted on reboot
14:18:00.0500 1696  C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe - will be deleted on reboot
14:18:00.0500 1696  IDriverT ( UnsignedFile.Multi.Generic ) - User select action: Delete 
14:18:00.0578 1696  C:\WINDOWS\system32\drivers\parldr2k.sys - copied to quarantine
14:18:00.0578 1696  HKLM\SYSTEM\ControlSet001\services\PARLDR2K - will be deleted on reboot
14:18:00.0578 1696  HKLM\SYSTEM\ControlSet002\services\PARLDR2K - will be deleted on reboot
14:18:00.0593 1696  HKLM\SYSTEM\ControlSet003\services\PARLDR2K - will be deleted on reboot
14:18:00.0593 1696  C:\WINDOWS\system32\drivers\parldr2k.sys - will be deleted on reboot
14:18:00.0593 1696  PARLDR2K ( UnsignedFile.Multi.Generic ) - User select action: Delete 
14:18:00.0656 1696  C:\Program Files\PC Connectivity Solution\ServiceLayer.exe - copied to quarantine
14:18:00.0671 1696  HKLM\SYSTEM\ControlSet001\services\ServiceLayer - will be deleted on reboot
14:18:00.0671 1696  HKLM\SYSTEM\ControlSet002\services\ServiceLayer - will be deleted on reboot
14:18:00.0671 1696  HKLM\SYSTEM\ControlSet003\services\ServiceLayer - will be deleted on reboot
14:18:00.0671 1696  C:\Program Files\PC Connectivity Solution\ServiceLayer.exe - will be deleted on reboot
14:18:00.0671 1696  ServiceLayer ( UnsignedFile.Multi.Generic ) - User select action: Delete 
14:18:06.0406 1616  Deinitialize success

 

Wyniki typu UnsignedFile.Multi.Generic to tylko powiadomienie o braku podpisu cyfrowego. To nie jest równoznaczne z infekcją (takie wyniki mogą być na czystym systemie) i dopiero musi zostać poddane analizie.

 

 

 

.

[january]

Zgodnie ze wskazówkami chciałem cofnąć system. Wrzuciłem obraz na pendrive (cdrom nie działa, podłączałem zewnętrzy usb, tak samo). Niestety wyskoczył identyczny komunikat, który uniemożliwił mi format.

 

 

INF file txtsetup.sif is corrupt or missing, status 18.

Setup cannot continue. Press any key to exit.

[picasso]

Wygląda na to, że zrobiłeś wadliwy nośnik. Posiadasz działającą płytę OTLPE, toteż skorzystaj z ręcznej podmiany plików rejestru. Cytuję:

 

1. Zastartuj na ten komputer z płyty OTLPE. Z Pulpitu uruchom My Computer. Wejdź na dysk z Windows do katalogu, gdzie Przywracanie systemu trzyma swoje pliki, czyli C:\System Volume Information.

 

2. W katalogu tym są różne punkty Przywracania, a są zbudowane wg schematu:

 

C:\System Volume Information\_restore{numerki}\RPX\Snapshot

 

Masz wybrać ten punkt Przywracania, który nie jest najnowszy i jest datowany na okres sprzed wystąpienia problemu. W środku są pliki (na pomarańczowo rejestr systemu, na niebiesko rejestr użytkownika):

 

_REGISTRY_USER_.DEFAULT

_REGISTRY_MACHINE_SECURITY

_REGISTRY_MACHINE_SOFTWARE

_REGISTRY_MACHINE_SYSTEM

_REGISTRY_MACHINE_SAM

_REGISTRY_USER_NTUSER_S-1-5-21-bardzo-długi-numerek

 

Skopiuj je do tymczasowo utworzonego folderu np. C:\TMP. Zmień im nazwy korespondująco na: DEFAULT, SECURITY, SOFTWARE, SYSTEM, SAM, NTUSER.DAT

 

3. Plikami pomarańczowymi masz podstawić pliki w C:\WINDOWS\system32\config, zaś niebieskim w C:\Documents and settings\Twoje konto. Wykonaj kopię zapasową plików zastępowanych!

 

4. Resetujesz komputer.

 

 

 

.

[january]

Udało się powrócić. Niestety problem ten co wcześniej - po podłączeniu pendrive nie pokazuje się on w moim komputerze, a już w odpowiedniku programu Total Commander, tak.

[picasso]

Przypatrz się na liternictwo USB w diskmgmt.msc: KLIK.

Edytowane 16 Listopada 2012 przez picasso
16.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso