Samoistne restarty systemu

[arekk]

Kondycja systemu jest zadowalająca, gdyby nie te restarty. Nie ma reguły kiedy one następują. Sprawdziłem RAM, Dysk, Przeskanowałem Malwarebytes' Anti-Malware i nic.

Wyczyściłem katalogi tmp programem TFC, użyłem CClinera, a przy próbie użycia Argente Registry Cleaner dwa razy się zrestartował jak by się czegoś bał.

Zamieszczam logi ze standardowego skanowania, jest tu trochę śmieci, nie usuwałem, chciałem poczekać na waszą opinie.

 

PS. Z tego co się doszukałem mogę mieć zainfekowany system. Przeprowadzam, naprawę systemu wiem że to nie załatwi sprawy do końca,, wyjątkowa sytuacja. Po tym zabiegu przedstawię jeszcze raz logi z OTL i GEMER

[Traxter]

Przyczyną może być bałagan w aplikacjach zabezpieczających - oprócz aktualnego ESET Smart Security widać startujące z systemem usługi G DATA oraz Aviry, które powodują zamieszanie w Centrum Zabezpieczeń.

 

Dodatkowo pewnie masz infekcję, w logach masz podejrzane pliki c:\windows\svohost.exe, C:\8rh4ngud.exe.

Więc temat nadaje się do działu Wirusy, a mój post można skasować w razie czego.

[arekk]

Przyczyną może być bałagan w aplikacjach zabezpieczających - oprócz aktualnego ESET Smart Security widać startujące z systemem usługi G DATA oraz Aviry, które powodują zamieszanie w Centrum Zabezpieczeń.

 

Dodatkowo pewnie masz infekcję, w logach masz podejrzane pliki c:\windows\svohost.exe, C:\8rh4ngud.exe.

Więc temat nadaje się do działu Wirusy, a mój post można skasować w razie czego.

 

Wiem o tym że jest ich kilka, za pomocą aplikacji Autoruns wykasowałem wszystkie wpisy z pozycja nie znaleziono pliku. Były tam pliki G DATY i AViry co do pliku C:\8rh4ngud.exe jest to GEMER a co do c:\windows\svohost.exe jest to plik tworzony przez znana mi aplikacje

[Traxter]

To może spróbuj w Autoruns zakładka Drivers najpierw odznaczyć (choć pewnie są zbędne i powinieneś pousuwać wszystkie resztki po tych produktach) pliki C:\WINDOWS\system32\drivers\GDTdiIcpt.sys (G DATA) oraz C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira), w zakładce Service plik C:\Program Files\Common Files\G DATA\GDScan\GDScan.exe (G DATA). zrestartuj kompa. Usługi wówczas nie będą startowały wraz z systemem. Dodatkowo są specjalne deinstalatory tych narzędzi usuwające pozostałości.

 

A co pokazuje centrum zabezpieczeń w sekcji antywirusa.

[arekk]

Podejrzewam infekcję, i pewnie sam sobie nie poradzę. Zamieszczam logi wykonane 2 raz GMER wykonany w trybie awaryjnym. Proszę o przeniesione posta to odpowiedniego działu.

Reg  HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                   
Reg  HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg  HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xC8 0x28 0x51 0xAF ...

Dorzucam logi z RootRepeal

Extras.Txt

GMER.txt

OTL.Txt

RootRepeal report 10-11-10 (15-22-57).txt

Drivers.txt

[Sevard]

Google twierdzi, że CLSID: {47629D4B-2AD3-4e50-B716-A66C15C63153} jest związany z Pinnacle Studio 9, widzę, że masz zainstalowane Pinnacle Hollywood FX, więc to może być to. Tak, czy owak analiza logów odbywa się w tym dziale i tam proponuję założyć temat, o ile moderatorzy nie przesuną tego. Ja po bardzo pobieżnym sprawdzeniu widzę tylko jedną nieaktywną infekcję i to, że masz mocno nieaktualny system. Na moje oko problem jednak jest sprzętowy, więc pewnie ostatecznie będziesz przeniesiony do działu Hardware.

 

Jeśli chodzi o programy czyszczące rejestr, to one niewiele dają, a mogą coś zepsuć, więc o ile nie masz poważnych przesłanek, by je stosować, to raczej ich unikaj.

[arekk]

Chyba sprzętowy bo do wczoraj komputer się jeszcze włączał , dzisiaj nie reaguje. Świeci się jedynie kontrolka na płycie głównej, ale dioda power na obudowie już nie, działa jedynie zasilacz i wentylator na procesorze. Po wyciągnięciu pamięci RAM, oraz karty graficznej, nie zasygnalizował sygnałem dźwiękowym. A "bzyczek" działa na 100% wczoraj puszczałem jeszcze sprawdzanie dysku Mhhd, wszystko w porządku było... Zasilacz jest nowy, został wymieniony jako pierwszy...

[picasso]

By skończyć z logami:

 

Sevard

 

Tak, czy owak analiza logów odbywa się w tym dziale i tam proponuję założyć temat

 

Nie do końca, dlatego też dział Malware celowo nie ma nazwy "Sprawdzanie logów", bo to nie jest dział tylko i wyłącznie temu przeznaczony, logi to tylko metoda by wyciągnąć dane. Niektóre logi mogą być dostarczone w każdym dziale, w którym są potrzebne (np. dział Windows nawet prosi w ogłoszeniu o podpieranie się OTL), ale w jakim dziale, zależy od kontekstu pytania. Tu kontekst został zasugerowany: infekcja, tak więc racja, intencja to inny dział. Ale:

 

 

arekk

 

W logach nie ma czynnych znaków infekcji. To co jest w GMER jest nieistotne, to nie są to klucze szkodliwe (patrz na wypowiedź Sevard = i to dotyczy wszystkich kluczy, jest wiele takich logów z GMER pokazujący zespół kluczy Pinnacle), a przyczyna dlaczego są w GMER to zapewne ich ukrycie metodą null. Jedyną rzeczą wyglądającą do interwencji jest:

 

SRV - File not found [Auto | Stopped] -- c:\windows\svohost.exe -- (svohost)

 

Ale sam mówisz:

 

a co do c:\windows\svohost.exe jest to plik tworzony przez znana mi aplikacje

 

Tylko mnie ciekawi co to za aplikacja i do czego ma służyć usługa, która nawet nie może się uruchomić, bo plik nie istnieje (czyli nasuwa się kasacja w Autoruns) i pluje błędem:

 

Error - 2010-10-11 02:42:28 | Computer Name = ANIA | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi svohost z powodu następującego błędu:   %%2

 

Koniec tematu infekcji.

 

Samoistne restarty systemu

 

W ogłoszeniu działu Windows, w którym to założyłeś na ironię temat mącąc o infekcji, jest napisane jakie dane się dostarcza przy samoistnych restartach. Kody BSOD oraz debugi zrzutów pamięci (KLIK). Nie widzę tu żadnych wzmianek o tych dwóch procedurach.

 

 

EDIT: nie widziałam ostatniego posta pisząc odpowiedź. Skoro tak, to temat jedzie do sprzętu.

 

 

.

Edytowane 12 Października 2010 przez picasso

[Sevard]

Tu kontekst został zasugerowany: infekcja, tak więc racja, intencja to inny dział.

O to mi mniej więcej chodziło. Zresztą nieistotne.

 

Skanowanie powierzchni w MHDD to niestety nie wszystko jeśli chodzi o sprawdzanie kondycji dysku, choć to jednak nie wygląda mi na dysk. Podaj dane, które są wymagane w dziale sprzęt (przypięty temat). Skoro płyta nie daje sygnałów po odłączeniu pamięci, to w takim razie warto dokładniej sprawdzić ją, procek i zasilacz. Sprawdź na początek, czy nie ma na płycie spuchniętych, lub wylanych kondensatorów. Jeśli są, to mamy odpowiedź, jeśli nie ma, to możesz spróbować złożyć zestaw na pająka, bo płyta może być po prostu źle zamontowana (może być napięta, lub ktoś zapomniał o kołkach, choć to akurat powinno wyjść wcześniej).

Sprawdź też, czy coś się załączy, jeśli wyłączysz wtyczkę od zasilacza i ponownie ją podłączysz. Wtyczka powinna być odłączona przynajmniej przez parę sekund. Jeśli masz na zasilaczu wyłącznik, to można zamiast odłączać wtyczki użyć jego.

Jak zrobisz te rzeczy, to zdaj raport.

Edytowane 16 Lutego 2011 przez picasso
16.02.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi autora. //picasso