Skocz do zawartości

Hibernacja


Foee

Rekomendowane odpowiedzi

Witajcie!

Mam problem z Hibernacją w systemie Windows XP Pro SP3. Wszystko ładnie i pięknie działało do wczoraj. Zaczęło się od wykrycia jakiegoś wirusa przez Kasperskiego. Przeskanowałem kompa - coś tam wykrył i usunął. Potem jeszcze zainstalowałem ComboFix'a. Gdy program uruchomił ponownie komputer jakimś dziwnym trafem miałem znów rejestrować Windowsa. Więc przywróciłem system do stanu początkowego. Pościągałem jakieś programy do wyszukiwania Trojanów itp. Przeskanowałem komputer - też się coś znalazło i usunąłem. Jednak teraz gdy chcę hibernować laptopa to na krótko pojawia się okienko "Trwa przygotowanie do hibernacji" i ekran wraca do pulpitu <_< Nie wiem czy problem tkwi w wirusach czy w czymś innym :huh:

 

Proszę o pomoc - jak przywrócić hibernację systemu.

 

Pozdrawiam,

Foee.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Zaczęło się od wykrycia jakiegoś wirusa przez Kasperskiego. Przeskanowałem kompa - coś tam wykrył i usunął. Potem jeszcze zainstalowałem ComboFix'a. Gdy program uruchomił ponownie komputer jakimś dziwnym trafem miałem znów rejestrować Windowsa.

 

Skoro był wykryty wirus, to należy sprawdzić co powiedzą raporty:

 

1. Do realizacji ogłoszenie działu Malware: KLIK (logi z OTL + GMER).

2. Poproszę także o odczyt z Kaspersky TDSSKiller, bo problem z hibernacją może być skutkiem infekcji w rodzaju TDL/MBR.

3. I proszę bezwzględnie dołączyć raport, który wtedy wytworzył ComboFix.

 

EDIT:

 

No tak, to trochę mało kulturalne, że zakładasz temat na dwóch forach na raz, tam dostarczasz materiał a tu nie, nic się nie odzywasz i np. nie powiesz, że "nie macie po co już się tym zajmować, bo jestem gdzie indziej", byśmy nie tracili czasu. A infekcja jest (nie tylko plik io3yalc.exe). Tylko że log z OTL to za mało. System musi być także sprawdzony na rootkity oraz musi być pokazane co robił ComboFix. Tym bardziej, że w Dzienniku zdarzeń są błędy sugerujące rootkita!

 

Decyduj gdzie prowadzisz temat, bo nie będę przecież czekać na wyniki skrzyżowanych działań.

 

 

 

.

Odnośnik do komentarza
Może nie jest to kulturalne, ale chcę szukać pomocy w różnych źródłach.

 

Tylko, że nie raczyłeś o tym tu poinformować. Ty chcesz pomocy z różnych źródeł, a ja nie chcę tracić czasu na coś co i tak olejesz. Bo to zrobiłeś i niezbyt delikatnie sugerujesz, że miałeś na celu zaśmiecić forum.

 

Zaś chronologicznie: założyłeś temat tam i nawet nie poczekałeś wystarczającą ilość czasu na odpowiedź, po czym założyłeś temat tu w odstępie nieco ponad godziny, co jest przesadą, bo tak naprawdę nie dałeś im szansy na odpowiedź. Czyli niejako pierwszeństwo ma tamto forum w tym momencie i na kija piszesz podwójnie, skoro i tak wybierasz do wykonania tamten post, mimo że Ci odpowiedziałam. To czysty przypadek, że wykryłam duplikat, gdybym zrobiła to wcześniej, nie startowałabym tu do tematu, czekając co nastąpi w tamtym miejscu, bo podanie równocześnie instrukcji czyni szkody.

Poza tym, nieintuicyjnie wybrałeś gorszą instrukcję, proszącą o mniej danych. To jest całkowicie niezrozumiałe. I zapłaciłeś za to. Temat trwa dłużej, nasłuchałeś się głupot o Hibernacji i jeszcze na dodatek nie rozwiązany problem, z którym przyszedłeś. Dostałbyś odpowiedź ode mnie już wcześniej co może stanowić problem (wiedziałabym to już po drugim poście, gdybyś dostarczył wszystkie logi od razu). Zdecydowałeś inaczej, toteż czekałam aż wyraźnie się wypowiesz, że mam przystąpić do pracy.

 

Dlaczego piszę teraz, bo Cię wprowadzają w błąd.

 

 

Problem z Hibernacją wynika zapewne z tego:

 

DRV - [2008-04-14 00:10:32 | 000,096,512 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\atapi.sys -- (atapi)

 

Tu są zasadne komentarze do tego co już usłyszałeś. Nie zauważono, że plik nie pokazuje się jako sygnowany przez Microsoft (a powinien). Został wymieniony niejako w ciemno. Ale nie w tym rzecz. Nie zintepretowano prawidłowo zablokowania pliku (to ma wielkie znaczenie dla Hibernacji):

 

2010/10/15 13:28:10.0843	Suspicious file (NoAccess): C:\WINDOWS\system32\drivers\atapi.sys. md5: 9f3a2f5aa6875c72bf062c712cfa2674

2010/10/15 13:28:10.0859 atapi - detected Locked file (1)

 

Konsekwencje niedopatrzeń:

 

1. Odnośnie wyników z VirusTotal: plik zablokowany to i na VirusTotal raczej nie przeskanujesz go. Zero bajtów stąd, że nie masz do pliku dostępu. Generalnie wszystko co jest w rootkit detekcji i niskopoziomowych narzędziach odnotowane jako zagrożenie lub blokada, wyklucza kopiowanie pliku z ręki i nie umożliwia weryfikacji. Albo nie da się tego zrobić, albo VirusTotal poda fałszywe dane. Jeśli działa rootkit, rootkit podsuwa prawidłową wersję obrazu sterownika i można do upojnego skanować na VirusTotal, a wynik zawsze czysty, bo jest skanowana podstawiona "wirtualnie" czysta postać (prawdziwa modyfikacja pliku zamaskowana). Taki plik na VirusTotal można przeskanować tylko wtedy w sposób wiarygodny, gdy skopiowano ten plik z całkowicie zewnętrznego środowiska, gdy nie działa Windows (Konsola Odzyskiwania / LiveCD).

To dotyczy także pobierania sumy kontrolnej przez OTL. OTL nie pracuje na tym samym poziomie co rootkit lub aplikacje wykazujące podobne techniki działania, nie może więc w żaden sposób przeliczyć czegoś do czego jest blokowany dostęp. Stąd też wita nas to:

 

[2010-10-15 14:25:05 | 000,096,512 | ---- | M] ()[b] Unable to obtain MD5[/b] -- C:\WINDOWS\system32\drivers\atapi.sys

 

OTL nie może już służyć do takich przeliczeń na sterownikach rodzaju atapi.sys z poziomu Windows (ale OTLPE co innego). Zaś TDSSKiller przeliczył sumę kontrolną zablokowanego pliku, bo to narzędzie pracuje na innym poziomie. Suma jest podana, ponownie cytuję:

 

2010/10/15 13:28:10.0843	Suspicious file (NoAccess): C:\WINDOWS\system32\drivers\atapi.sys. md5: 9f3a2f5aa6875c72bf062c712cfa2674

2010/10/15 13:28:10.0859 atapi - detected Locked file (1)

 

EDIT: SystemLook również nie nadaje się do takiej weryfikacji = wyszukiwania wersji plików zaatakowanych przez rootkita lub zablokowanych w sposób jaki tu widać. Nie ma do tego dostępu.

 

2. Plik jest nie bez przyczyny zablokowany, bo jest tu proces nadrzędny, który go blokuje (w konsekwencji i Hibernację). Działa tu emulator napędów wirtualnych (zresztą przestarzały):

 

DRV - [2004-04-30 10:37:02 | 000,160,640 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\a347bus.sys -- (a347bus)

DRV - [2004-04-30 10:33:00 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\a347scsi.sys -- (a347scsi)

 

 

Czyli: dopóki działa emulacja, atapi może być zablokowany i można sobie wymieniać plik w nieskończoność przez OTL, uzyskując dokładnie ten sam odczyt. Pozbądź się całkowicie emulacji wirtualnych napędów, by nastąpiło zwolnienie tych obszarów. Jeśli jest na dysku deinstalator Alcohola (w liście zainstalowanych programów nie ma takiej pozycji = to o niczym nie świadczy, OTL nie listuje wszystkich deinstalatorów) to go użyj w pierwszej kolejności. Następnie uruchom Autoruns, w karcie Drivers skasuj usługi a347bus + a347scsi. Restart komputera, by odładować sterowniki z pamięci. Start > Uruchom > devmgmt.msc > z menu Widok ustaw pokazywanie Ukrytych urządzeń. Na liście, która się ujawni, wyszukaj urządzenia z wykrzyknikami. Powinny takowe być po operacji z Autoruns. Odinstaluj te szczątki. Kolejny restart. Następnie pokazujesz mi nowy odczyt z Kaspersky TDSSKiller oraz OTL jak jest odczytywany ten plik po tej operacji. Oraz sprawdź zachowanie Hibernacji.

 

 

.

Odnośnik do komentarza
Odinstalowałem program Alcohol 120% (wszystkie wirtualne napędy). Pobrałem oraz uruchomiłem program Autoruns. W zakładce Drivers niema usług a347bus + a347scsi.

 

Jeśli program odinstalowałeś w całkowity sposób, to jest możliwe że deinstalacja się odbyła w sposób kompletny i te sterowniki też poleciały. Z Alcoholem nie zawsze tak jest, tu wygląda jednak na pomyślne zadanie. Skoro ich nie ma, to reset komputera i podaj odczyty z narzędzi o które proszę oraz sprawdź zachowanie Hibernacji.

Odnośnik do komentarza
Hibernacja działa poprawnie.

 

Usunięcie Alcohola ładnie odblokowało plik atapi.sys (zniknął z detekcji Kaspersky TDSSKiller) i jest on czytany teraz całkowicie poprawnie, odżył pobór jego sygnatury Microsoftu. Wnioskuję to po tym, że sterownik atapi.sys przestał się pokazywać w OTL w sekcji sterowników. On tam się ujawnia tylko, gdy wg OTL nie spełnia domyślnych parametrów (np. nie ma sygnatury producenta). Pliku nie ma potrzeby zamieniać. On był od początku do końca poprawny (np. Kaspersky podał sumę kontrolną zgodną z plikiem SP3), tylko był zablokowany pobór detali pliku dla narzędzi, które nie mają takiej mocy, by to odczytać.

 

To był bardzo stary Alcohol (datowany na ... 2004), a ta blokada atapi to nie tylko Hibernacji łamie nogi, także przy aktualizacji Windows, gdy plik atapi musi być podmieniony i właśnie nie da rady, bo wirtual blokuje.

Nie ponawiaj instalacji tej archaicznej wersji. Ostatecznie, jeśli jest "niezbędny", zawsze można sprawdzić najnowszą wersję Alcohola. Ma ona nieco inną postać, choć niestety przy takich programach korzystanie z technik rootkit-podobnych jest nieuniknione. Najnowsze Alcohole także tworzą zablokowany całkowicie sterownik SPTD, a produktem ubocznym jego działania jest losowe urządzenie, przy każdym starcie systemu o innej nazwie. Wszystko to widać w rootkit detektorach. Generalnie: mocno ingerujące w system zjawisko.

 

 

W kwestii końcowego wyglądu OTL, już po usuwaniu infekcji na innym forum. Jest tu zestaw wytworzony w podobnym zakresie czasowym:

 

[2010-10-14 16:31:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\czarny\Dane aplikacji\Windows Networking Service

[2010-10-14 16:31:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Windows Networking Service

[2010-10-14 16:31:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\czarny\Dane aplikacji\BITS

[2010-10-14 16:31:42 | 000,000,000 | ---D | C] -- C:\winntsys

 

Katalogi Windows Networking Service oraz winntsys są związane z infekcją: KLIK. Za to BITS to powinno być od FlashGeta (notabene: ComboFix powinien był zdewastować częściowo FlashGeta, on usuwa jego komponenty = dlatego naciskałam na pokazanie loga z ComboFix), ale jest on zmodyfikowany w tym samym czasie. Pokaż szczegółową zawartość tych folderów. W SystemLook wklej co poniżej, klik w Look i podaj wyniki:

 

:dir
C:\Documents and Settings\czarny\Dane aplikacji\Windows Networking Service
C:\Documents and Settings\All Users\Dane aplikacji\Windows Networking Service
C:\Documents and Settings\czarny\Dane aplikacji\BITS
C:\winntsys

 

Jak się dowiem co tam jest, przejdę do sprzątnięcia resztek i ukończenia tematu, bo zawsze po czyszczeniu infekcji są pewne obowiązkowe kroki do przeprowadzenia, typu sprzątanie, usuwanie kopii szkodników.

 

 

.

Odnośnik do komentarza

Te foldery już zostały w jakiś sposób / czymś opróżnione. Są w przeważającej części puste (czy to aby nie Twój Kaspersky działał?), czyli nie stanowią zagrożenia, a usuwanie to z palca pójdzie. A ten BITS to się zgadza, to katalog FlashGet związany z jego funkcją torrent. I tu:

 

Ps. Wstawić jeszcze loga z ComboFixa ??

 

Jeśli nadal masz go na dysku, to go wstaw. Interesuje mnie oczywiście log z tamtego pierwszego uruchomienia, by było wiadome co on w ogóle robił.

Odnośnik do komentarza

Widzę nowy Alcohol zamontowany, czy przy nim działa Hibernacja?

 

Mam log z ComboFix'a który robiłem teraz:

 

On teraz usunął właśnie te foldery, o których mówię, oraz składniki FlashGet. Ale tego właśnie nie miałeś robić, bo uruchamianie ComboFix tu było całkowicie zbędne na tym etapie (nie ma nic czynnego, a resztówki to usuwa się na multum sposobów bez tak olbrzymich ingerencji). Nie kazałam Ci tworzyć tworzyć nowego loga (bo to jest równoznaczne z uruchomieniem całej procedury ComboFix i męczenie systemu), tylko pokazać log który powstał wtedy, przecież nadal nie wiadomo co on zrobił za pierwszym podejściem. Dobra, nie dogadamy się, zostaw to już w spokoju.

 

pewnie ComboFix usuwa jakiś plik systemowy odpowiedzialny za rejestrację Windowsa. Po uruchomieniu komputera muszę wpisać klucz produktu.

 

Albo robi coś z Twoim crackiem, bo "legalność" Windows jest oczywista (plik antiwpa.dll). Plik ten również będzie wykrywany w skanerze typu MBAM, skaner to usuwa, a po tym jest ziazi. Ten plik jest po prostu traktowany jako agresywny. I chyba większość skanerów wydaje taką opinię.

 

************************************

 

1. Co do ostatecznego OTL, można wykonać minimalne sprzątanie "not found" i szczątków po usuniętych programach. Wklej sobie w oknie Własne opcje skanowania / skrypt ten zestaw instrukcji:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\czarny\Pulpit\Moonlight Engine+ct+bypass\MLE 1365.4.0.34\MLE1365.sys -- (IlvMoneyDRIVER53)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\czarny\Pulpit\DualEngine2\DualEngi.sys -- (Dua1)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&Pobierz wszystko przez FlashGet]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&Pobrane przez FlashGet]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Nowe Gadu-Gadu\gg.exe"=-
"C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe"=-
"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe"=-
"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe"=-
"C:\Documents and Settings\czarny\Pulpit\ElfBot NG8.54\ElfBot_NG8.54\ElfBot_NG8.54\serwer\navserv.exe"=-
"C:\Documents and Settings\czarny\Pulpit\ElfBot NG8.54\ElfBot_NG8.54\ElfBot_NG8.54\navserv.exe"=-

 

Klik w Wykonaj skrypt. Pójdzie szybko i bez restartu. Loga nie musisz pokazywać. Odinstaluj także SHOUTcast Radio Toolbar zapuszczony do Firefox i Internet Explorer.

 

2. Ponieważ miałeś infekcję, jest niezbędnym także posprzątać po ... jej sprzątaniu:

 

  • W Start > w polu szukania wklej polecenie "c:\documents and settings\czarny\Pulpit\ComboFix.exe" /uninstall. To w prawidłowy sposób usunie jego kwarantannę i składniki oraz zresetuje foldery Przywracania systemu.
  • W OTL wywołaj funkcję Sprzątanie. Odinstaluj USBFix.

3. Na wszelki wypadek wykonaj jeszcze pełny skan przez Malwarebytes' Anti-Malware. Pamiętaj o pliku antiwpa.dll, on to klasyfikuje na odrzut. Pokaż wyniki skanowania do oceny.

 

4. W związku z tym, że miałeś także infekcję z USB, zabezpiecz system oraz urządzenia przenośne przy udziale Panda USB Vaccine

 

5. Na koniec aktualizacja softu:

 

  • Zaktualizuj Java oraz Internet Explorer: INSTRUKCJE. Tak, niezależnie od tego, że korzystasz z Firefox i nie uruchamiasz wcale IE. To zbyt duża integracja z systemem i luka, którą można wykorzystać.
  • Gadu-Gadu 7.7 - Stare, nie obsługuje w pełni własnego protokołu i ma niski poziom zabezpieczeń (brak szyfrowania). Do obróbki temat: Darmowe komunikatory. Masz tam opisane szczegółowo dobre darmowe alternatywy dla Gadu, pozbawione reklam, a obsługujące najnowszy protokół Gadu 8/10: WTW, Miranda, Kadu. Zresztą sam obejrzyj.

 

 

.

Odnośnik do komentarza

Bardzo dziękuję za pomoc :)

Jeszcze mam ostatnie pytanie, nie związane z obecnym tematem. Za parę miesięcy będę formatować całego laptopa - chcę wgrać nowy system. Od początku chcę odpowiednio się zabezpieczyć przed wszystkimi "szkodnikami". Jakie programy będą niezbędne do zainstalowania, aby w miarę bezpiecznie chronić mojego laptopa?

Odnośnik do komentarza
Za parę miesięcy będę formatować całego laptopa - chcę wgrać nowy system.

 

Jaki system będziesz instalował? Typ systemu może wykluczyć pewne kroki zabezpieczające. Np. na Windows 7 jest natywna ochrona przez infekcjami z USB wykorzystującymi metodę autorun.inf. System x64 z kolei implikuje posługiwanie się aplikacjami zgodnymi z tymi bitami.

 

Od początku chcę odpowiednio się zabezpieczyć przed wszystkimi "szkodnikami". Jakie programy będą niezbędne do zainstalowania, aby w miarę bezpiecznie chronić mojego laptopa?

 

Wstępnie możesz przewertować sekcję Oprogramowanie zabezpieczające. Jest sporo wątków omawiających kombinacje programowe, są tematy z testami i dyskusje. Coś z tego na pewno wyciągniesz.

Komercyjne, darmowe? Jeśli o darmowych rozprawka, kompletnym darmowym pakietem realizującym funkcje firewall, HIPS i AV jest COMODO Internet Security, który można połączyć z darmowym skanerem na żądanie MBAM.

 

 

.

Odnośnik do komentarza
System operacyjny to prawdopodobnie Windows Vista Home Premium.

 

Jeśli Vista, to zabezpieczanie przed infekcją autorun.inf z USB nadal aktualne. Jest łatka symulująca zachowanie z Windows 7: KB971029. Panda USB Vaccine także może być wykorzystana, zresztą to narzędzie nie traci na aktualności jeśli mowa o immunizowaniu także urządzeń USB jako takich.

 

Pytanie: dlaczego padło na Windows Vista? Czy ten system masz już przygotowany / masz nośnik czy może są inne powody dla tego wyboru? Obstawiłabym raczej Windows 7. To poprawiona i optymalizowana "Vista".

Odnośnik do komentarza

Jeśli nie masz więcej pytań związanych z tematem przewodnim, to powoli będziemy zamykać. Zaś do tego ewentualnie mógłbyś stworzyć nowy temat:

 

Windowsa 7 próbowałem zainstalować - udało się, jednak skutkiem ubocznym było brak niektórych sterowników przez co praca na tym systemie była łagodnie mówiąc nieciekawa.

 

Tak tylko spytam: jakich sterowników? Ewentualnie podsuwam link: Windows 7 Upgrade Guide for dv6000/dv9000 models.

Odnośnik do komentarza

Z tego co pamiętam to sterowników odpowiedzialnych za kartę graficzną.

Temat z hibernacją zakończył się sukcesem, więc można zamknąć.

 

Ps. Dzięki za link sterowników do Win7 :D Może jednak na nowo spróbuję zainstalować Win7, ale jak mówiłem wcześniej za parę miesięcy.

 

Pozdrawiam serdecznie i dzięki za pomoc :lol: !

Edytowane przez picasso
W porządku, nie widzę dodatkowych pytań, temacik zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...