jendru Opublikowano 11 Września 2010 Zgłoś Udostępnij Opublikowano 11 Września 2010 Witam, oto mój problem. Windows XP SP3 Wszystkie karty sieciowe mają ten sam błąd/kod 39. Stało się to zaraz po tym jak Kasperski wykrył wirusa HEUR:Virus.win32.Generic w pliku ndis.sys w katalogach dllcache i drivers i przeniósł te pliki do kwarantanny. Przeszukiwałem różne fora i niestety trafiłem na poradę skorzystania z ComboFix-a co zrobiłem, niestety nie pomogło, następnie programem OTL zastąpiłem plik ndis.sys plikiem wyciągnientym z instalki SP3, też nie pomogło. ComboFix.txt Extras.Txt gamer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2010 Zgłoś Udostępnij Opublikowano 11 Września 2010 Są tu trzy problemy z podstawieniem plików Windows: ------- Sigcheck ------- [-] 2008-04-13 22:50 . B1ABE70CF1D867257B87D3260C53E8E2 . 90313 . . [------] . . c:\windows\system32\dllcache\ndis.sys [-] 2010-01-21 . C8BDAD4065118558B3DC360FC96D81DB . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll [-] 2010-08-18 13:07 . !HASH: COULD NOT OPEN FILE !!!!! . 585504 . . [------] . . c:\windows\system32\drivers\aec.sys[-] 2008-04-13 20:09 . !HASH: COULD NOT OPEN FILE !!!!! . 142592 . . [------] . . c:\windows\system32\dllcache\aec.sys c:\windows\System32\drivers\ndis.sys ... - brak elementu !! ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\aec.sys (*** hidden *** ) [MANUAL] aec + patchowanie w Kernel Code Section OTL zastąpiłem plik ndis.sys plikiem wyciągnientym z instalki SP3, też nie pomogło. A plik podmieniałeś niewłaściwą wersją (patrz na rozmiar!): [2010-08-18 17:25:43 | 000,090,313 | ---- | C] () -- C:\WINDOWS\System32\drivers\ndis.sys[2010-08-18 17:24:37 | 000,090,313 | ---- | C] () -- C:\ndis.sys[2010-08-17 23:34:41 | 000,090,313 | ---- | C] () -- C:\WINDOWS\System32\dllcache\ndis.sys W pakiecie SP3 PL rozpakowany plik ndis.sys ma wagę 182Â 656. Popełniłeś podstawowy błąd = na płycie jest plik ndis.sy_ (waga 90Â 313, czyli tyle dokładnie ile tu widzę), i to nie jest właściwy plik, to CAB który dopiero trzeba wyekstraktować! A Ty wziąłeś archiwum i zmieniłeś mu nazwę, nie wypakowałeś z tego pliku .... 1. Paczka czystych plików wyekstraktowana z firmowego SP3 PL (zgodnego z Twoim nagłówkiem): KLIK. Pliki umieść w katalogu C:\Pliki. sterowniki mają zmienione nazwy, na wypadek gdyby rootkit blokował nazwy oryginalne. 2. Otwórz Notatnik i wklej w nim: FCopy:: C:\Pliki\1.sys | c:\windows\system32\drivers\ndis.sys C:\Pliki\1.sys | c:\windows\system32\dllcache\ndis.sys C:\Pliki\2.sys | c:\windows\system32\drivers\aec.sys C:\Pliki\2.sys | c:\windows\system32\dllcache\aec.sys C:\Pliki\sfcfiles.dll | c:\windows\system32\sfcfiles.dll C:\Pliki\sfcfiles.dll | c:\windows\system32\dllcache\sfcfiles.dll File:: C:\WINDOWS\system32\voflmvyns.exe C:\WINDOWS\system32\config\systemprofile\voflmvyns.exe C:\WINDOWS\System32\drivers\mqgmu.sys C:\WINDOWS\System32\fjhdyfhsn.bat C:\Documents and Settings\LocalService\Dane aplikacji\txvcpz.dat C:\Documents and Settings\NetworkService\Dane aplikacji\txvcpz.dat C:\WINDOWS\System32\drivers\aec.sys.bak Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "voflmvyns"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "voflmvyns"=- Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. [Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach] 3. Do oceny: wyniki pracy ComboFix oraz nowa seria logów standardowych OTL + GMER. . Odnośnik do komentarza
jendru Opublikowano 11 Września 2010 Autor Zgłoś Udostępnij Opublikowano 11 Września 2010 wykonałem wszystkie polecenia, podczas pracy ComboFix-a komputer sam się zrestartował, pojawiło sie okno ładowania windows, lecz windows sie nie włączył, pojawiło sie okno wybory systemu awaryjnego - w który wszedłem. Przywróciłem system do stanu z dnia wczorajszego. Skanuje system OTL-em i Gmer-em wyniki skanu gmer.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2010 Zgłoś Udostępnij Opublikowano 11 Września 2010 Sytuacja jest bez zmian. Nadal działa rootkit. 1. Materiały potrzebne do procesu: Zakładam, że masz już ode mnie katalog C:\Pliki z wszystkimi potrzebnymi kopiami plików. Katalog ten będzie załączony w skrypcie. Pobierz płytę OTLPE. Zbuduj skrypt do OTLPE. Otwórz Notatnik i wklej w nim: :Files c:\windows\system32\drivers\ndis.sys|C:\Pliki\1.sys /replace c:\windows\system32\dllcache\ndis.sys|C:\Pliki\1.sys /replace c:\windows\system32\drivers\aec.sys|C:\Pliki\2.sys /replace c:\windows\system32\dllcache\aec.sys|C:\Pliki\2.sys /replace c:\windows\system32\sfcfiles.dll|C:\Pliki\sfcfiles.dll /replace c:\windows\system32\dllcache\sfcfiles.dll|C:\Pliki\sfcfiles.dll /replace C:\WINDOWS\System32\drivers\mqgmu.sys C:\WINDOWS\System32\drivers\aec.sys.bak C:\WINDOWS\System32\fjhdyfhsn.bat C:\WINDOWS\system32\voflmvyns.exe C:\WINDOWS\system32\config\systemprofile\voflmvyns.exe C:\Documents and Settings\LocalService\Dane aplikacji\txvcpz.dat C:\Documents and Settings\NetworkService\Dane aplikacji\txvcpz.dat C:\Documents and Settings\jendru\Menu Start\Programy\Autostart\winiyw32.exe H:\autorun.inf :Reg [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "voflmvyns"=- [HKEY_USERS\PRZEMO_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "voflmvyns"=- :Commands [emptyflash] [emptytemp] Plik zapisz pod nazwą FIX.TXT i połóż sobie bezpośrednio na dysku C:\. 2. Zastartuj z płyty OTLPE i zgodnie z instrukcjami w opisie uruchom OTL z "Pulpitu" płyty. Kliknij w Run fix, a na pytanie o plik skryptu wskaż FIX.TXT. Po ukończeniu usuwania zostanie wyprodukowany log. Zachowaj go. 3. Już z poziomu Windows: seria nowych logów do pokazania z OTL + GMER oraz dołącz log powstały z usuwania w OTLPE. . Odnośnik do komentarza
jendru Opublikowano 12 Września 2010 Autor Zgłoś Udostępnij Opublikowano 12 Września 2010 niestety, wykonałem wszystko jak w instrukcji, OTL wykonal co miał wykonać i z poziomu OTLPE uruchomiłem ponownie system. Windows nie załadował się, włączył się system awaryjny, zrobiłem przywracanie systemu. załączam log który powstał pod OTLPE 09122010_121818.txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2010 Zgłoś Udostępnij Opublikowano 12 Września 2010 Według loga z usuwania zadania przeszły pomyślnie (wszystkie pliki wymienione + skasowane szkodliwe), toteż jest niezrozumiałe co przeszkadza wchodzeniu Windows w Tryb normalny. Z poziomu OTLPE wykonaj log, sprawdzimy jak widać elementy z poziomu zewnętrznego środowiska. Windows nie załadował się, włączył się system awaryjny, zrobiłem przywracanie systemu. To znaczy, że ładuje się Tryb awaryjny i można swobodnie wejść do Windows? Odnośnik do komentarza
jendru Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 Według loga z usuwania zadania przeszły pomyślnie (wszystkie pliki wymienione + skasowane szkodliwe), toteż jest niezrozumiałe co przeszkadza wchodzeniu Windows w Tryb normalny. Z poziomu OTLPE wykonaj log, sprawdzimy jak widać elementy z poziomu zewnętrznego środowiska. Log wykonanałem pod OTLPE, nie wiem czy to ma znaczenie, ale jest to wykonane po wcześniejszym przywróceniu systemu sprzed wykonania usuwania. To znaczy, że ładuje się Tryb awaryjny i można swobodnie wejść do Windows? Komputer odpalał normalnie, czarny ekran piałe napisy, następnie pojawiło się logo windowsa i znikło, system ładował sie od nowa, i zamiast loga pojawł się ekran wyboru systemu awaryjnego. Do którego można było wejść i z poziomu systemu awaryjnego przywrociłem system do najbliższej możliwej daty. OTL_13092010.Txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 Log wykonanałem pod OTLPE, nie wiem czy to ma znaczenie, ale jest to wykonane po wcześniejszym przywróceniu systemu sprzed wykonania usuwania. W logu z OTLPE nie widać większości plików, które były wcześniej widziane. W logu są tylko dwa zapisy voflmvyns.exe (jako "not found") + niewłaściwe kopie pliku NDIS.SYS (czyli nieszczęsne nie rozpakowane archiwum CAB wsadzone jako plik docelowy): O4 - HKLM..\Run: [voflmvyns] C:\WINDOWS\System32\voflmvyns.exe File not foundO4 - HKU\jendru_ON_C..\Run: [voflmvyns] C:\WINDOWS\System32\config\systemprofile\voflmvyns.exe File not found [2010/08/18 11:25:43 | 000,090,313 | ---- | C] () -- C:\WINDOWS\System32\drivers\ndis.sys[2010/08/18 11:24:37 | 000,090,313 | ---- | C] () -- C:\ndis.sys[2010/08/17 17:34:41 | 000,090,313 | ---- | C] () -- C:\WINDOWS\System32\dllcache\ndis.sys Skoro jest to sytuacja po Przywracaniu systemu, a w zasadzie większość jest skasowana, to zakładam, że Przywracanie systemu nie odkręciło całego stanu. Jak rozumiem system działa, czyli zostaje tylko jeden plik do podmiany = NDIS.SYS. W związku z tym: Komputer odpalał normalnie, czarny ekran piałe napisy, następnie pojawiło się logo windowsa i znikło, system ładował sie od nowa, i zamiast loga pojawł się ekran wyboru systemu awaryjnego. Do którego można było wejść i z poziomu systemu awaryjnego przywrociłem system do najbliższej możliwej daty. Może w kluczach rejestru podmienionego sterownika NDIS jest jakaś niepożądana zmiana, która powoduje niemożność ładowania. Pytaniem jest też: czy to na pewno system XP SP3? W nagłówku taki widnieje, ale to nie jest jeszcze dowód na to. Co dopiero miałam tu użytkownika, który oszukał system i wprowadził w rejestrze zmianę, która miała pokazywać SP3 (i każdy nagłówek loga też wtedy podaje tę sfałszowaną informację), by instalator gry przeszedł bez instalacji prawdziwej SP3. Nic takiego nie robiłeś? Pytam, ponieważ wersja pliku NDIS.SYS jest niezwykle ważna i musi korespondować do właściwego SP3. Przed podjęciem trzeciej próby podmiany NDIS.SYS podaj mi do oglądnięcia rejestr części sterownikowej i konfiguracji sprzętowej. Z poziomu OTLPE skopiuj plik C:\WINDOWS\system32\config\SYSTEM, zapakuj do ZIP i prześlij mi do analizy na PW. . Odnośnik do komentarza
picasso Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 Plik otrzymałam. Pierwszy rzut oka i już widać w czym przyczyna. W rejestrze w ogóle brak klucza NDIS, system nie ma jak załadować sterownika, mimo że jest on zaplanowany w kolejności ruzruchu (wartość GroupOrderList nosi zapis NDIS + wartość ServiceGroupOrder ma specyfikację NDIS Wrapper), stąd następuje autoreset (to jest ukryty ekran śmierci). Jedyne co w tym systemie się ostało po NDIS, to klucz LEGACY_NDIS. Zaimportowałam do rejestru cały klucz NDIS, zgodny ze strukturą SP3, do gałęzi Bieżącej oraz Ostatniej dobrej konfiguracji. Tu poglądowo co wsadziłam do Twojego rejestru (to jest zrepetowane w Ostatniej dobrej konfiguracji): Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS]"DisplayName"="Sterownik systemu NDIS""ErrorControl"=dword:00000001"Group"="NDIS Wrapper""Start"=dword:00000000"Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\MediaTypes] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Parameters]"ProcessorAffinityMask"=dword:ffffffff [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Enum]"0"="Root\\LEGACY_NDIS\\0000""Count"=dword:00000001"NextInstance"=dword:00000001 1. Zedytowany plik do odebrania na PW. Z poziomu OTLPE zamień pliki rejestru SYSTEM. Uwaga: przed wstawieniem pliku SYSTEM wykonaj kopię pliku aktualnego, który masz teraz. 2. Z poziomu OTLPE ręcznie wymień moją kopią z C:\Pliki pliki NDIS.SYS w tych lokalizacjach: c:\windows\system32\drivers\ndis.sys c:\windows\system32\dllcache\ndis.sys 3. Restart do Windows. Wytwórz nowe logi z OTL + GMER. . Odnośnik do komentarza
jendru Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 Wydaje się że zabiegi pomogły Kart sieciowe działąją. Miałem problem z odnalezieniem katalogu dllcache i nie podmieniłem w nim pliku ndis.sys - teraz pod windowsem widze ten katalog i plik ndis.sys o mniejszej wadze, spróbuje jeszcze raz pod OTLPE podmienic ten pliczek załączam logi z OTL i GMERa Extras.Txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 Jest w porządku. Nie widzę w raportach żadnych szkodliwych plików. Miałem problem z odnalezieniem katalogu dllcache i nie podmieniłem w nim pliku ndis.sys - teraz pod windowsem widze ten katalog i plik ndis.sys o mniejszej wadze, spróbuje jeszcze raz pod OTLPE podmienic ten pliczek Widzę to: [2010-08-17 23:34:41 | 000,090,313 | ---- | C] () -- C:\WINDOWS\System32\dllcache\ndis.sys Podmienię to za Ciebie, bo i tak w OTL mamy jeszcze drobne poprawki. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files c:\windows\system32\dllcache\ndis.sys|C:\Pliki\1.sys /replace :OTL FF - prefs.js..browser.search.defaultthis.engineName: "Online Radio India Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405723&SearchSource=3&q={searchTerms}" O4 - HKLM..\Run: [voflmvyns] C:\WINDOWS\System32\voflmvyns.exe File not found O4 - HKU\S-1-5-21-682003330-823518204-1606980848-1003..\Run: [voflmvyns] C:\WINDOWS\System32\config\systemprofile\voflmvyns.exe File not found O4 - HKU\S-1-5-21-682003330-823518204-1606980848-1003..\Run: [AdobeBridge] File not found O33 - MountPoints2\I\Shell - "" = AutoRun O33 - MountPoints2\I\Shell\AutoRun\command - "" = I:\ZFPOrange.exe -- File not found O33 - MountPoints2\Y\Shell - "" = AutoRun O33 - MountPoints2\Y\Shell\AutoRun\command - "" = Y:\autorun.exe -- File not found O33 - MountPoints2\Z\Shell - "" = AutoRun O33 - MountPoints2\Z\Shell\AutoRun\command - "" = Z:\autorun.exe -- File not found [2010-09-12 18:18:19 | 001,571,840 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\sfcfiles(2).dll [2010-09-11 19:36:57 | 000,000,000 | --SD | C] -- C:\ComboFix(2) [2010-08-18 16:02:04 | 000,000,000 | -HSD | C] -- C:\RECYCLER(2) :Commands [clearallrestorepoints] [emptyflash] [emptytemp] Zacznij proces przez opcję Uruchom skrypt. Po restarcie otrzymasz z tego log. 2. Do oceny: log z usuwania OTL + nowy wygenerowany po usuwaniu opcją Skanuj. Poza tym, na dysku H ciągle się generuje od nowa kilkukrotnie już tu usuwany plik autorun.inf: O32 - AutoRun File - [2002-10-16 20:56:50 | 000,000,036 | RH-- | M] () - H:\autorun.inf -- [ NTFS ] Otwórz go z prawokliku w Notatniku i przeklej mi jego zawartość. . Odnośnik do komentarza
jendru Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 Zrobiłem jak trzeba było, załączam logi ze skanowania, log z usunięcia i zawartość pliku autorun. Może ułatwi sprawę fakt że ten dysk H jest dyskiem zewnętrznym podpiętym przez USB i ten autorun chyba odpowiada za ikonkę która się wyświetla. Niestety pojawił się mały problem, karta sieciowa działa, mam połączenie z siecią (internet UPC) ale nie mam internetu. I nie jest to wina dostawcy, bo teraz mam kabel podpięty do laptopa i działa. otl_09132010_211342.txt Extras.Txt OTL.Txt autorun.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2010 Zgłoś Udostępnij Opublikowano 13 Września 2010 Zadania zostały pomyślnie wykonane, a plik w dllcache jest podstawiony prawidłowo: [2010-08-17 23:34:41 | 000,182,656 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndis.sys A ten jest i tak nieprawidłowy i zbędny: [2010-08-18 17:24:37 | 000,090,313 | ---- | C] () -- C:\ndis.sys Kroki finalizujące: 1. Usuń szcżątki i kwarantanny po narzędziach: W Start > Uruchom > wklej polecenie: "C:\Documents and Settings\jendru\Pulpit\ComboFix.exe" /uninstall W OTL wywołaj funkcję Sprzątanie. 2. Przeskanuj system przez Malwarebytes' Anti-Malware i zgłoś się tu z wynikami. Może ułatwi sprawę fakt że ten dysk H jest dyskiem zewnętrznym podpiętym przez USB i ten autorun chyba odpowiada za ikonkę która się wyświetla. Zgadza się. Zawartość pliku wskazuje, że jest zupełnie nieszkodliwy i odpowiada za ikonkę: [autorun]ICON=AUTORUN\WDLOGO.ICO EDIT: Dopisałeś: Niestety pojawił się mały problem, karta sieciowa działa, mam połączenie z siecią (internet UPC) ale nie mam internetu.I nie jest to wina dostawcy, bo teraz mam kabel podpięty do laptopa i działa. 1. Spróbuj resetu TCP/IP przez narzędzie Fix it z artykułu: KB299357. 2. Sprawdź czy sieci nie blokuje Kaspersky Internet Security. . Odnośnik do komentarza
jendru Opublikowano 13 Września 2010 Autor Zgłoś Udostępnij Opublikowano 13 Września 2010 Aktualnie wykonuje skanowanie przez Malwarebytes' Anti-Malware Co do sieci to: 1 Fix it - nie pomógł 2 Kaspersky chyba nie blokuje sieci, wszedłem w ustawienia zapory sieciowej i tam pod kartą sieciową jest podświetlony numer za nim w nawiasie (połączenie lokalne) stan: połączony , sieć lokalna. na PW wysłałem ci zrzut z ekranu Odnośnik do komentarza
picasso Opublikowano 14 Września 2010 Zgłoś Udostępnij Opublikowano 14 Września 2010 Kaspersky chyba nie blokuje sieci Proponuję to jednak sprawdzić w bardziej namacalny sposób: poprzez wyłączenie zapory / strażników zatwierdzone pełnym restartem komputera. Oczekuję oczywiście na raport z Malwarebytes'. Sprawdź Dziennik zdarzeń, czy nie ma tam jakiś konkretnych błędów pasujących do stanu braku sieci. Jeśli są, przeklej tu do wglądu detale błędów. Na wszelki wypadek podaj mi jeszcze końcowe zestawienie kopii pliku ndis.sys. Uruchom SystemLook, w oknie wklej poniższy tekst, kliknij w Look i czekaj na raport. :filefindndis.sys . Odnośnik do komentarza
jendru Opublikowano 14 Września 2010 Autor Zgłoś Udostępnij Opublikowano 14 Września 2010 po wyłączeniu wszystkich zabezpieczeń w Kasperskim i po restarcie windowsa - sytuacja bez zmian zalączam wyciąg z dziennika zdarzen, raport z Malwarebytes i raport z systemlook zdarzenia_aplikacja.txt zdarzenia_system.txt mbam-log-2010-09-14 (09-36-02).txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2010 Zgłoś Udostępnij Opublikowano 14 Września 2010 1. Te wyciągi z Dzinnika są bezużyteczne. To tylko lista TXT bez detali błędów. Pokaż mi pełny Dziennik zdarzeń: z prawokliku na gałęzie SYSTEM + Aplikacje zapisz je jako pliki EVT, spakuj do ZIP i prześlij mi. 2. Wszystko co pokazał MBAM jest do usunięcia. EDIT: Otrzymałam pliki Dziennika. Wyłoniłam w Dzienniku takie zdarzenia z dnia wczorajszego: Event ID 2508The server service was unable to load the server driver. Event ID 26Application popup: : \SystemRoot\System32\drivers\afd.sys failed to load Application popup: : \SystemRoot\System32\drivers\TDI.SYS failed to load Event ID 5727 (Source: Workstation)Could not load RDR device driver.Could not load MRxSmb device driver. Do SystemLook wklej na szukanie: :filefindafd.syssrv.systdi.sysrdbss.sysmrxsmb.sysksecdd.sys Podaj raport wynikowy. . Odnośnik do komentarza
jendru Opublikowano 14 Września 2010 Autor Zgłoś Udostępnij Opublikowano 14 Września 2010 Podaj raport wynikowy. podaje raport SystemLook 04.09.10 by jpshortstuff Log created at 20:13 on 14/09/2010 by jendru Administrator - Elevation successful ========== filefind ========== Searching for "afd.sys" C:\WINDOWS\system32\dllcache\afd.sys --a--c- 138496 bytes [22:47 21/01/2010] [22:47 21/01/2010] 4D43E74F2A1239D53929B82600F1971C C:\WINDOWS\system32\drivers\afd.sys --a---- 138496 bytes [22:47 21/01/2010] [22:47 21/01/2010] 4D43E74F2A1239D53929B82600F1971C Searching for "srv.sys" C:\WINDOWS\system32\dllcache\srv.sys --a--c- 333952 bytes [22:47 21/01/2010] [22:47 21/01/2010] E89B42B216BC86ADA4345908284519CB C:\WINDOWS\system32\drivers\srv.sys --a---- 333952 bytes [22:47 21/01/2010] [22:47 21/01/2010] E89B42B216BC86ADA4345908284519CB Searching for "tdi.sys" C:\WINDOWS\system32\dllcache\tdi.sys --a--c- 19072 bytes [22:47 21/01/2010] [22:47 21/01/2010] 0539D5E53587F82D1B4FD74C5BE205CF C:\WINDOWS\system32\drivers\tdi.sys --a---- 19072 bytes [22:47 21/01/2010] [22:47 21/01/2010] 0539D5E53587F82D1B4FD74C5BE205CF Searching for "rdbss.sys" C:\WINDOWS\system32\dllcache\rdbss.sys --a--c- 175744 bytes [22:47 21/01/2010] [22:47 21/01/2010] 7AD224AD1A1437FE28D89CF22B17780A C:\WINDOWS\system32\drivers\rdbss.sys --a---- 175744 bytes [22:47 21/01/2010] [22:47 21/01/2010] 7AD224AD1A1437FE28D89CF22B17780A Searching for "mrxsmb.sys" C:\WINDOWS\system32\drivers\mrxsmb.sys --a---- 455936 bytes [22:47 21/01/2010] [22:47 21/01/2010] 7170AB42B51954DEF2781A4D1CCE65F4 Searching for "ksecdd.sys" C:\WINDOWS\system32\dllcache\ksecdd.sys --a--c- 92928 bytes [22:47 21/01/2010] [22:47 21/01/2010] C6EBF1D6AD71DF30DB49B8D3287E1368 C:\WINDOWS\system32\drivers\ksecdd.sys --a---- 92928 bytes [22:47 21/01/2010] [22:47 21/01/2010] C6EBF1D6AD71DF30DB49B8D3287E1368 -= EOF =- Odnośnik do komentarza
picasso Opublikowano 14 Września 2010 Zgłoś Udostępnij Opublikowano 14 Września 2010 Wg raportu, wszystkie pliki mają wspólną datę modyfikacji na rok 2010 i nie wszystkie sumy kontrolne się zgadzają z tymi w pakiecie SP3. Ja bym je podmieniła zbiorowo. 1. Paczka plików wyciągnięta z SP3 PL: KLIK. Umieść je w C:\Pliki. 2. Pobierz OTL, uruchom i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\WINDOWS\system32\dllcache\afd.sys|C:\Pliki\afd.sys /replace C:\WINDOWS\system32\drivers\afd.sys|C:\Pliki\afd.sys /replace C:\WINDOWS\system32\dllcache\srv.sys|C:\Pliki\srv.sys /replace C:\WINDOWS\system32\drivers\srv.sys|C:\Pliki\srv.sys /replace C:\WINDOWS\system32\dllcache\tdi.sys|C:\Pliki\tdi.sys /replace C:\WINDOWS\system32\drivers\tdi.sys|C:\Pliki\tdi.sys /replace C:\WINDOWS\system32\dllcache\rdbss.sys|C:\Pliki\rdbss.sys /replace C:\WINDOWS\system32\drivers\rdbss.sys|C:\Pliki\rdbss.sys /replace C:\WINDOWS\system32\dllcache\mrxsmb.sys|C:\Pliki\mrxsmb.sys /replace C:\WINDOWS\system32\drivers\mrxsmb.sys|C:\Pliki\mrxsmb.sys /replace C:\WINDOWS\system32\dllcache\ksecdd.sys|C:\Pliki\ksecdd.sys /replace C:\WINDOWS\system32\drivers\ksecdd.sys|C:\Pliki\ksecdd.sys /replace Standardowo: Wykonaj skrypt. Będzie restart. 3. Do oceny: log z operacji w OTL + nowy opcją Skanuj. Oczywiście podsumuj czy w/w operacja coś pomogła... . Odnośnik do komentarza
jendru Opublikowano 14 Września 2010 Autor Zgłoś Udostępnij Opublikowano 14 Września 2010 niestety nie pomogło, sieć jest netu nie ma 09142010_221323.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2010 Zgłoś Udostępnij Opublikowano 14 Września 2010 Hmmm, wszystko podstawione, w OTL brak dodatkowych znaków naprowadzających. 1. Wejdź w Dziennik zdarzeń, z prawokliku na gałęzie SYSTEM + Aplikacje wyczyść oba Dzienniki, tak by było zupełnie pusto. Następnie wykonaj pełny restart komputera. Po restarcie wyeksportuj mi te gałęzie dzienników do nowych plików EVT. Zobaczymy jakie błędy konkretnie są teraz. 2. Podaj listę z katalogu sterowników. W SystemLook przeprowadź wyszukiwanie: :dirC:\WINDOWS\system32\drivers /s /md5 3. Start > Uruchom > devmgmt.msc, z menu Widok ustaw pokazywanie ukrytych urządzeń. Pojawi się na liście nowa pozycja Sterowników niezgodnych z PnP. Na liście wyszukaj po kolei poniższe pozycje, z dwukliku pobierz Właściwości, w karcie Sterownik Typ startowy ma być ustawiony następująco: AFD: System ksecdd: Boot NetBios przez TCP/IP: System Protokół We/Wy trybu użytkownika NDIS: Ręczny 4. Nadal rozważam czy to nie Kaspersky i rozmyślam nad testową deinstalacją tego oprogramowania, by się przekonać na 100% czy to nie on. . Odnośnik do komentarza
jendru Opublikowano 15 Września 2010 Autor Zgłoś Udostępnij Opublikowano 15 Września 2010 odinstalowałem kasperskiego - sytuacja bez zmian 1 tu są dzienniki http://www.speedyshare.com/files/24258406/dziennik.zip 2 lista z katalogu sterowników w załączeniu 3 z sterownikami mam mały proble, nie potrafie dojść do ustawień o których mówiłaś, pod linkiem jest zrzut z ekranu z miejsca w które doszedłem http://www.speedyshare.com/files/24258400/menadzererr.jpg SystemLook3.txt Odnośnik do komentarza
Anonim8 Opublikowano 15 Września 2010 Zgłoś Udostępnij Opublikowano 15 Września 2010 3 z sterownikami mam mały proble, nie potrafie dojść do ustawień o których mówiłaś, pod linkiem jest zrzut z ekranu z miejsca w które doszedłem Masz rozwinąć tą gałaź (szary kwadracik) i tam szukać tych sterowników AFD: System ksecdd: Boot NetBios przez TCP/IP: System Protokół We/Wy trybu użytkownika NDIS: Ręczny Odnośnik do komentarza
jendru Opublikowano 15 Września 2010 Autor Zgłoś Udostępnij Opublikowano 15 Września 2010 (edytowane) OK, znalazłem i wszystko wydaje się być ustawione poprawnie AFD: Systemowy ksecdd: rozruch NetBios przez TCP/IP: Systemowy Protokół We/Wy trybu użytkownika NDIS: Żądanie Dodatkowo, spróbowałem podpiąć Orange Business Everywhere - (na którym teraz pracuje na laptopie), i bez poroblemu połaczył się z siecią lecz internetu nie było. tak wyglądają właściwośći połączenia lokalnego http://www.speedyshare.com/files/24261785/siec.jpg wykonałem naprawianie driverów sieci narzędziem WinSock XP Fix 1.2 - nie pomogło, nie zaszkodziło. Edytowane 15 Września 2010 przez jendru Odnośnik do komentarza
picasso Opublikowano 15 Września 2010 Zgłoś Udostępnij Opublikowano 15 Września 2010 Wyniki z listowania katalogu drivers są dziwne. W zasadzie cała zawartość jest datowana na 2010. Powinno być w przeważającej większości datowanie 2008 (= data SP3). W Dzienniku zdarzeń są teraz tylko błędy DHCP. Spróbuj tradycyjnych komend w Start > Uruchom > cmd: ipconfig /release ipconfig /renew ipconfig /flushdns ipconfig /registerdns + restart systemu. . Odnośnik do komentarza
Rekomendowane odpowiedzi