Niedziałający internet, karty muzyczne

[JoeCrack]

Witam,

 

po krótce przedstawię problem:

 

- karta sieciowa nie moze sie połączyć z internetem, ani za pomocą wifi, ani za pomocą kabla

- karty muzyczne nie działają (interfejs USB i standardowy Realtek)

- komputer nie uruchamia sie od razu, po ekranie powitalnym zostaje pulpit i kursor, dopiero po kobinacji: alt+ctrl+del i uruchomieniu przez

menadzera zadan explore.exe, czasem załaduje sie sam ale po kilku, kilkunastu minutach

 

Po użyciu ComboFixa karty muzyczne działały normalnie, oprócz internetu i programów do edycji video.

 

początkowo myslalem ze chodzi o nowe net framework i zanstalowałem Service Packa 3 i wszystko wrociło do starych błędów

 

Załączam starszy log z combofixa oraz nowy z OTL - gmera nie udało mi sie uruchomic,

poniewaz nie udało mi sie usunac wirtualnych dysków (odp. Alcohol, Daemon)

OTL.Txt

Extras.Txt

ComboFix.txt

[picasso]

Cóż, nie widzę tu podstaw do szukania infekcji. Skoryguj sobie tylko BootExecute:

 

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (sprecovr \SystemRoot\sprecovr.txt) -  File not found
O34 - HKLM BootExecute: (\Explorer\MountPoints2\I\Shell) - C:\WINDOWS\System32\Shell.dll (Microsoft Corporation)
O34 - HKLM BootExecute: (hell) -  File not found
O34 - HKLM BootExecute: (l) -  File not found
O34 - HKLM BootExecute: (11de-9e39-0040) -  File not found

 

Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
  00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

ComboFix też nie robił tu nic specjalnego, i tylko dwa pliki skasował, które nawet nie wiadomo czy były szkodliwe: winlogon.bak (to może być zarówno produkt kombinacji z obchodzeniem aktywacji, jak i efekt infekcji, tylko że plik sam w sobie w obu przypadkach jest skopiowanym oryginalnym plikiem MS), autorun.inf (ten plik w system32 może być także prawidłowy, choć już nie pamiętam dokładnie gdzie widziałam takie coś). A nawet gdyby te pliki były szkodliwe, to i tak nie powinny mieć wpływu na sytuację. Jeśli ulżyło po użyciu ComboFix, to jedyne co mi się nasuwa, to wbudowane procedury niepermanentnego wstrzymania softu ochronnego + reset pewnych ustawień do defaultu.

 

Natomiast to co mnie tu zastanawia, to pewne rozbieżności między logami, czyli niezdowodowona dla mnie jeszcze obecność COMODO Internet Security. W ComboFix widnieje: w postaci sterowników i pliku DLL (przy czym jednocześnie brak wejść w starcie). W OTL: zupełny brak śladów jego pobytu i brak wejścia w spisie Dodaj / Usuń. Wyjaśnij czy między logami ComboFix i OTL pakiet został odinstalowany.

 

nie udało mi sie usunac wirtualnych dysków (odp. Alcohol, Daemon)

 

Jaki powód?

 

- karta sieciowa nie moze sie połączyć z internetem, ani za pomocą wifi, ani za pomocą kabla

- karty muzyczne nie działają (interfejs USB i standardowy Realtek)

 

(...)

 

zanstalowałem Service Packa 3 i wszystko wrociło do starych błędów

 

Co widnieje w Menedżerze urządzeń (w menu Widok włączone pokazywanie ukrytych urządzeń)?

 

- komputer nie uruchamia sie od razu, po ekranie powitalnym zostaje pulpit i kursor, dopiero po kobinacji: alt+ctrl+del i uruchomieniu przez

menadzera zadan explore.exe, czasem załaduje sie sam ale po kilku, kilkunastu minutach

 

Prócz tego, że może jest to wynik próby łączenia z siecią i niemocy wykonania tego, widzę jeszcze takie błędy w Dzienniku zdarzeń, usługi Windows nie chcą startować oraz zawiesiła się WIA (zwykle wpływ mają urządzenia peryferyjne jadące na kiepskich sterownikach):

 

Error - 2010-11-30 16:52:59 | Computer Name = GRILL | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Usługa Czas systemu Windows z powodu następującego
 błędu:   %%230
 
Error - 2010-11-30 16:52:59 | Computer Name = GRILL | Source = Service Control Manager | ID = 7001
Description = Usługa Centrum zabezpieczeń zależy od usługi Instrumentacja zarządzania
 Windows, której nie można uruchomić z powodu następującego błędu:   %%230
 
Error - 2010-11-30 16:52:59 | Computer Name = GRILL | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Aktualizacje automatyczne z powodu następującego
 błędu:   %%230
 
Error - 2010-11-30 16:52:59 | Computer Name = GRILL | Source = Service Control Manager | ID = 7022
Description = Usługa Windows Image Acquisition (WIA) zawiesiła się podczas uruchamiania.
 
Error - 2010-11-30 16:52:59 | Computer Name = GRILL | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Zgodność szybkiego przełączania użytkowników
 z powodu następującego błędu:   %%230

Poproszę o cały Dziennik zdarzeń do analizy:

 

Start > Uruchom > eventvwr.msc

 

Z prawokliku na gałąź SYSTEM + Aplikacje wykonaj zapis do odrębnych plików EVT. Pliki te spakuj do ZIP, wyślij na jakiś hosting i podaj tu link.

 

 

 

 

 

.

[JoeCrack]

Na wstępie dziękuję za pomoc!

 

 

Natomiast to co mnie tu zastanawia, to pewne rozbieżności między logami, czyli niezdowodowona dla mnie jeszcze obecność COMODO Internet Security. W ComboFix widnieje: w postaci sterowników i pliku DLL (przy czym jednocześnie brak wejść w starcie). W OTL: zupełny brak śladów jego pobytu i brak wejścia w spisie Dodaj / Usuń. Wyjaśnij czy między logami ComboFix i OTL pakiet został odinstalowany.

 

Tak pakiet został odinstalowany.

 

 

Bez skutku pozostaje usuniecie wirtualnych dysków, przy próbie deinstalacji pojawia się informacja:

 

"setup is unable to validate installation"

 

Co widnieje w Menedżerze urządzeń (w menu Widok włączone pokazywanie ukrytych urządzeń)?

 

Screen: http://www.sendspace.com/file/yv9688

 

 

 

Z prawokliku na gałąź SYSTEM + Aplikacje wykonaj zapis do odrębnych plików EVT. Pliki te spakuj do ZIP, wyślij na jakiś hosting i podaj tu link.

 

http://www.sendspace.com/file/5ahw8u

[picasso]

Bez skutku pozostaje usuniecie wirtualnych dysków, przy próbie deinstalacji pojawia się informacja:

 

"setup is unable to validate installation"

 

To stąd, że masz odinstalowany sterownik SPTD. On musi być czynny, by program dało się odinstalować. Ten sterownik usuwa się dopiero po przeprowadzeniu normalnej deinstalacji softu. Czyli: należy się posłużyć narzędziem SPTDinst, by ponownie ten sterownik zainstalować, następnie wykonać deinstalację programów, na koniec znów w obroty SPTDinst, tym razem w celu usunięcia sterownika.

 

Jeśli to co prezentujesz to jedyne wykrzykniki / problemy widzialne w Menedżerze, to jest to bez znaczenia. SPTD = patrz wyżej. Serial + Parport = wręcz standardowa sytuacja po instalacji XP na sprzęcie ze zdeaktywowanymi portami seryjnymi i równoległymi w BIOS lub z całkowitym brakiem takich portów (instalator XP nie wyczuwa sytuacji i montuje sterownik, który i tak nie ma racji bytu).

 

Przechodząc do Dziennika zdarzeń, to tam jest nieciekawy zestaw. System wolno startuje, ponieważ ulegają zawieszeniom usługi sieciowe. Odbywa się także jakiś dziwny proces samozabijania innych usług (Harmonogram zadań | Audio | Stacja robocza | Usługi kryptograficzne | System zdarzeń COM+ | Kompozycje i tak dalej) z błędem "The pipe state is invalid." A na okrasę błędy ftdisk.

 

Nie jest tu sprawdzony w ogóle GMER. Pokaż mi logi z narzędzi: Kaspersky TDSSKiller (jeśli coś znajdzie, nie usuwaj, ustaw na Skip i tylko wytwórz log) + MBRCheck.

 

 

 

.

Edytowane 2 Stycznia 2011 przez picasso
2.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso