RobertM15 Opublikowano 27 Maja 2010 Zgłoś Udostępnij Opublikowano 27 Maja 2010 To jest mój pierwszy post, więc proszę o wyrozumiałość . Kilka dni temu komputer się zawiesił w czasie normalnej pracy i po restarcie już się nie uruchomił, zawieszał się przy starcie jak w temacie, szary pasek postępu ładowania zatrzymuje się w ok 1/3 swej długości. W trybie awaryjnym ładowanie zatrzymuje się na pliku \WINDOWS\System32\DRIVERS\isapnp.sys. A wszystko to Windows XP Professional. Zacząłem od skanowania dysku CHKDSKiem po odpaleniu z płyty Windows PE i o dziwo żadnych błędów nie znalazł. Następnie skanowałem RAM Memtestem, też bez błędów. I teraz jestem w kropce - nie jestem wytrawnym specjalistą w czytaniu logów z OTL i innych tego typu programów, więc duża prośba o sprawdzenie. Poniżej załączam skan z OTLPE: Mam nadzieję, że nie popełniłem zbyt wielu błędów. Byłbym wdzięczny za pomoc, ponieważ nie mogę poradzić sobie sam z rozwiązaniem problemu. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 28 Maja 2010 Zgłoś Udostępnij Opublikowano 28 Maja 2010 Widać tu między innymi rootkita: DRV - [2010/05/17 17:12:46 | 000,000,000 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\nvgubxm.sys -- (nvgubxm) Czyli sprawa infekcyjna więc zabieramy się za usuwanie. 1. Skonstruuj skrypt tekstowy, który zostanie załadowany w OTLPE. Otwórz Notatnik i wklej w nim: :Files C:\WINDOWS\System32\fjhdyfhsn.bat C:\WINDOWS\system32\drivers\nvgubxm.sys C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\NetworkService\Dane aplikacji\qvjsge.dat C:\Documents and Settings\dom\Menu Start\Programy\Autostart\wwwzuc32.exe :Services nvgubxm :OTL O2 - BHO: (no name) - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - No CLSID value found. O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O4 - Startup: C:\Documents and Settings\dom\Menu Start\Programy\Autostart\wwwzuc32.exe (Ghisler Software GmbH) :Commands [emptytemp] Plik zapisz pod nazwą FIX.TXT 2. Plik FIX.TXT umieść na pendrive lub innym urządzeniu przenośnym, które może być podpięte do komputera. 3. Podpinasz urządzenie przenośne startujesz z płyty OTLPE. 4. Uruchamiasz z Pulpitu program OTLPE zgodnie ze wskazówkami montując rejestr. Klikasz w Run Fix. Zostanie zgłoszony komunikat o braku skryptu i wtedy wskazujesz plik o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, który zachowasz bo będziesz go prezentował. 5. Wykonujesz restart komputera. Jeśli całe zadanie się uda, system Windows zastartuje prawidłowo. 6. Wytwarzasz z poziomu systemu już normalny log z OTL + GMER. Dołączasz także log z OTLPE powstały z czyszczenia. . Odnośnik do komentarza
RobertM15 Opublikowano 29 Maja 2010 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2010 Wykonałem po kolei wszystkie kroki, a poniżej wyniki skanowania z OTLPE po naprawie, oraz już w działającego Windows'a OTL i GMER. OTLPE po naprawie.txt OTL.Txt GMER.txt Odnośnik do komentarza
Landuss Opublikowano 30 Maja 2010 Zgłoś Udostępnij Opublikowano 30 Maja 2010 To jeszcze drobne poprawki tym razem już spod systemu normalnie. 1. Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt: :Processes killallprocesses :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=" IE - HKU\S-1-5-21-117609710-1580818891-854245398-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=15003&l=dis" IE - HKU\S-1-5-21-117609710-1580818891-854245398-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) IE - HKU\S-1-5-21-117609710-1580818891-854245398-1003\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll () IE - HKU\S-1-5-21-117609710-1580818891-854245398-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found :Files C:\Documents and Settings\dom\Dane aplikacji\avdrn.dat C:\Documents and Settings\dom\Dane aplikacji\pdfforge C:\Documents and Settings\dom\Dane aplikacji\Search Settings C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\6cang0s8.Anetka\extensions\toolbar@ask.com :Commands [emptyflash] [clearallrestorepoints] Kliknij w Run Fix. Zatwierdź restart komputera. 2. Z Panelu sterowania >>> dodaj/usuń programy odinstaluj śmieci DAEMON Tools Toolbar / Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. W OTL prosze zaznacz opcję Extra Registry tak aby uzyskać też log dodatkowy extras.txt Pokazujesz nowe logi z OTL. . Odnośnik do komentarza
RobertM15 Opublikowano 31 Maja 2010 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2010 Leczenie przeprowadzone i usunięty DAEMOON TOOLS. Poniżej załączone skany z OTL: OTL.Txt Extras.txt Odnośnik do komentarza
Landuss Opublikowano 1 Czerwca 2010 Zgłoś Udostępnij Opublikowano 1 Czerwca 2010 W takim razie parę rzeczy na koniec do wykonania. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- [HKEY_USERS\S-1-5-21-117609710-1580818891-854245398-1003\Software\Microsoft\Internet Explorer\Toolbar] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- "{71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7}"=- "{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji CleanUp z OTL 3. Wykonaj obowiązkowe aktualizacje: "{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 12 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9) Szczegółowe INSTRUKCJE. . Odnośnik do komentarza
RobertM15 Opublikowano 23 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2010 (edytowane) Bardzo dziękuję za pomoc, bez niej pewnie bym sobie nie poradził. Zainstalowałem wszelkie aktualizacje, a komputer śmiga jak wyjęty prosto z pudełka :-) Pozdrawiam, Edytowane 23 Czerwca 2010 przez picasso Temat jako rozwiązany zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi