Problem z uruchamianiem

[DariniO]

Witam

 

Od jakiegoś czasu mam problem przy uruchamianiu komputera. Po pierwsze to nie wczytuje mi ikon , paska itd. tylko sama tapeta. Jak naciskam kombinację klawiszy "Ctrl+Alt+Delete" i wylogowuje i zalogowuje się ponownie to ikony , pasek itd. już jest. Dziwne. Po drugie to ciągle nie zaskakuje mi od razu internet, nie mogę włączyć, dopiero po kilku próbach wylogowania i zalogowania jest okej. No i po trzecie to mam zmieniony cały pasek menu na domyślny i nie mogę nigdzie zmienić. Aha jeszcze czasem jest kłopot z tą wyskakującą tabelką "Pamięć nie może być read...", na przykład wczoraj przy grze PES2011 zaczęła mi takowa wyskakiwać i dalej nie mogę grać.

 

Wiem, że coś jest nie tak i dlatego prosiłbym osobę która się na tym zna o pomoc.

Prosiłbym o analizę logów.

 

Niestety log z GMER'a jest niemożliwy bo przy próbie włączenia tego komputer się restartuje.

OTL.Txt

Extras.Txt

[picasso]

1. Nie widzę tu śladów czynnej infekcji, jest tylko szczątkowe mapowanie po podpinaniu zarażonego USB:

 

O33 - MountPoints2\{60c3d0a0-b4cb-11de-a066-000e50ae8c9d}\Shell\AutoRun\command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{60c3d0a0-b4cb-11de-a066-000e50ae8c9d}\Shell\open\Command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{62e82dd8-ad37-11df-b61f-000e50ae8c9d}\Shell\AutoPlAy\cOmMAnd - "" = J:\vqnykt.cmd -- File not found
O33 - MountPoints2\{62e82dd8-ad37-11df-b61f-000e50ae8c9d}\Shell\AutoRun\command - "" = J:\vqnykt.cmd -- File not found
O33 - MountPoints2\{62e82dd8-ad37-11df-b61f-000e50ae8c9d}\Shell\exploRE\CommAnD - "" = J:\vqnykt.cmd -- File not found
O33 - MountPoints2\{62e82dd8-ad37-11df-b61f-000e50ae8c9d}\Shell\OpEn\coMmaNd - "" = J:\vqnykt.cmd -- File not found
O33 - MountPoints2\{7371ffe8-eee3-11de-a368-000e50ae8c9d}\Shell\AutoRun\command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{7371ffe8-eee3-11de-a368-000e50ae8c9d}\Shell\open\Command - "" = H:\wyskq6lt.exe -- File not found

Start > Uruchom > regedit i skasuj klucz:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2

 

2. Zastrzeżenia do oprogramowania: przestarzały antywirus AVG8 w połączeniu z mało sprawnym aktualnie Spybotem, podejrzane reputacją softy (Wru, oparty na Conduit pasek Online Sharing Toolbar, Surfbar, Gossiper Toolbar w Firefox), Java i Adobe Reader do aktualizacji.

 

Od jakiegoś czasu mam problem przy uruchamianiu komputera.

 

W Dzienniku zdarzeń są następujące błędy:

 

[ System Events ]
Error - 2010-12-09 11:09:52 | Computer Name = DOM-1HYRAMARCIN | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi System zdarzeń COM+ z powodu następującego
 błędu:   %%1053
 
Error - 2010-12-09 11:09:52 | Computer Name = DOM-1HYRAMARCIN | Source = Service Control Manager | ID = 7009
Description = Limit czasu (30000 milisekund) podczas oczekiwania na połączenie się
 z usługą Zgodność szybkiego przełączania użytkowników.
 
Error - 2010-12-09 11:09:52 | Computer Name = DOM-1HYRAMARCIN | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Zgodność szybkiego przełączania użytkowników
 z powodu następującego błędu:   %%1053
 
Error - 2010-12-09 11:09:52 | Computer Name = DOM-1HYRAMARCIN | Source = Service Control Manager | ID = 7009
Description = Limit czasu (30000 milisekund) podczas oczekiwania na połączenie się
 z usługą Zgodność szybkiego przełączania użytkowników.
 
Error - 2010-12-09 11:09:52 | Computer Name = DOM-1HYRAMARCIN | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Zgodność szybkiego przełączania użytkowników
 z powodu następującego błędu:   %%1053
 
Error - 2010-12-09 11:09:52 | Computer Name = DOM-1HYRAMARCIN | Source = Service Control Manager | ID = 7009
Description = Limit czasu (30000 milisekund) podczas oczekiwania na połączenie się
 z usługą Wykrywanie sprzętu powłoki.
 
Error - 2010-12-09 11:09:52 | Computer Name = DOM-1HYRAMARCIN | Source = Service Control Manager | ID = 7009
Description = Limit czasu (30000 milisekund) podczas oczekiwania na połączenie się
 z usługą Połączenia sieciowe.
 
Error - 2010-12-09 11:09:52 | Computer Name = DOM-1HYRAMARCIN | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Połączenia sieciowe z powodu następującego
 błędu:   %%1053

Start > Uruchom > eventvwr.msc i z prawokliku na gałęzie System + Aplikacje zapisz je do nowych plików EVT. Pliki zapakuj do ZIP i perześlij tu za pomocą jakiegoś hostingu.

 

Niestety log z GMER'a jest niemożliwy bo przy próbie włączenia tego komputer się restartuje.

 

Nie spełnione warunki do uruchamiania GMER:

 

DRV - [2010-08-20 15:04:30 | 000,697,328 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd)

Działa sterownik emulacji wirtualnych napędów, a przecież jest opisane, że podstawą do prawidłowego startu GMER jest pozbycie się tego: KLIK.

 

 

 

.

[DariniO]

Start > Uruchom > eventvwr.msc i z prawokliku na gałęzie System + Aplikacje zapisz je do nowych plików EVT. Pliki zapakuj do ZIP i perześlij tu za pomocą jakiegoś hostingu.

link do plików: http://www.multiupload.com/TXGEHDCHVF

 

 

 

Nie spełnione warunki do uruchamiania GMER:

 

DRV - [2010-08-20 15:04:30 | 000,697,328 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd)

 

 

Działa sterownik emulacji wirtualnych napędów, a przecież jest opisane, że podstawą do prawidłowego startu GMER jest pozbycie się tego: KLIK.

 

Zrobiłem według instrukcji i mimo to dalej nie mogę uruchomić programu GMER. Pojawia się te białe okienko programu i zaraz się resetuje komputer, nawet nic nie da rady zrobić.

Podsyłam nowe logi z OTL, bo może coś nie tak jeszcze jest i przeoczyłem.

Extras.Txt

OTL.Txt

[picasso]

Po obejrzeniu Dziennika zdarzeń mam podejrzenie, że tu może być rootkit TDL/MBR. Bardzo podejrzany skomasowany zestaw błędów: błędy DCOM, ftdisk, TCPIP o przekroczeniu limitu połączeń oraz masowe zawieszenie usług na starcie. Uruchom Kaspersky TDSSKiller, a jeśli coś wykryje ustaw akcję na Skip i tylko wygeneruj raport do wglądu.

[DariniO]

załączam raport z programu Kaspersky TDSSKiller

TDSSKiller.2.4.11.0_11.12.2010_16.41.11_log.txt

[picasso]

I owszem, jest tu rootkit TDL:

 

2010/12/11 16:42:14.0750    Suspicious file (Forged): C:\windows\system32\DRIVERS\isapnp.sys. Real md5: 6413e557a32941eacba29a2efe307fd0, Fake md5: c8eef2e93835b81bd335de2123121283
2010/12/11 16:42:14.0750    isapnp - detected Rootkit.Win32.TDSS.tdl3 (0)
 
2010/12/11 16:42:19.0296    ================================================================================
2010/12/11 16:42:19.0296    Scan finished
2010/12/11 16:42:19.0296    ================================================================================
2010/12/11 16:42:19.0296    Detected object count: 1
2010/12/11 16:45:13.0625    Rootkit.Win32.TDSS.tdl3(isapnp) - User select action: Skip 

 

Czyli teraz uruchom w Kasperskym akcję Cure. Po restarcie spróbuj zrobić log z GMER, podaj także nowe logi z OTL.

 

 

 

.

[DariniO]

Super robota, komputer już się uruchamia tak jak trzeba, szybko i bez problemu. Dźwięk, internet oraz pasek menu wszystko jest już okej. Jestem bardzoooo wdzięczny za pomoc

Ale proszę jeszcze o sprawdzenie tych logów ....

 

 

 

Załączam logi z OTL oraz z RootRepeal, ponieważ GMER nadal się nie uruchamia.

Extras.Txt

OTL.Txt

RootRepeal report 12-11-10 (20-57-00).txt

[picasso]

To teraz możemy się zająć mniejszymi głupotami.

 

1. Widzę, że nadal nie odinstalowałeś Online Sharing Toolbar + Conduit Engine (a także i Wru). To nadal aktualne.

 

2. Drobne czyszczenie konfiguracji przeglądarek ze śmieci paskowych (z wyłączeniem głównych narządów wyżej wymienionych, bo proces naturalnej deinstalacji powinien być uruchomiony) oraz odpadków "not found" i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.search.defaultthis.engineName: "Gossiper Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1547340&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1547340&q="
[2010-07-15 12:05:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HYRA\Dane aplikacji\Mozilla\Firefox\Profiles\33godsn9.default\extensions\radiobar@toolbar
[2010-10-31 17:33:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HYRA\Dane aplikacji\Mozilla\Firefox\Profiles\33godsn9.default\extensions\vshare@toolbar
[2010-08-29 11:29:02 | 000,000,919 | ---- | M] () -- C:\Documents and Settings\HYRA\Dane aplikacji\Mozilla\Firefox\Profiles\33godsn9.default\searchplugins\conduit.xml
[2010-10-31 17:33:28 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\HYRA\Dane aplikacji\Mozilla\Firefox\Profiles\33godsn9.default\searchplugins\web-search.xml
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\HYRA\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe File not found
O4 - HKU\.DEFAULT..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe File not found
O4 - HKU\S-1-5-18..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys -- (SANDRA)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Gigabyte\GBTUpd\RunUpd.exe"=-
"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe"=-
"C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe"=-
"C:\Program Files\Nowe Gadu-Gadu\gg.exe"=-
"D:\Michał\Counter Strike\cstrike.exe"=-
"D:\FIFA09\FIFA09.exe"=-
"C:\Program Files\Gadu-Gadu\gg.exe"=-
"D:\Grand Theft Auto IV\GTAIV.exe"=-
"C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP2\WNt500x86\RpcSandraSrv.exe"=-
"C:\Program Files\Hamachi\hamachi.exe"=-
"D:\Colin McRae DiRT\DiRT.exe"=-
"C:\Program Files\eMule\emule.exe"=-
"D:\PES 2009\pes2009.exe"=-
"C:\Program Files\Konami\PES 2009\pes2009.exe"=-
"D:\Michał\PES 2010\pes2010.exe"=-
"C:\Program Files\Grand Theft Auto IV\GTAIV.exe"=-
"D:\Bitwa o Śródziemie II\game.dat"=-
"D:\Bitwa o Śródziemie 2 Król Nazguli\game.dat"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt. Nastąpi restart.

 

3. Do aktualizacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 21
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)

Szczegóły w temacie: INSTRUKCJE.

 

 

.

[DariniO]

Wykonane

Jeszcze raz bardzo dziękuję za POMOC

[picasso]

Jeśli wykonałeś wszystko, to teraz na sam koniec:

 

1. W OTL wywołaj Sprzątanie.

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

[DariniO]

Gotowe.

[DariniO]

Witam,

 

Chciałbym się tutaj zwrócić z pytaniem odnośnie tego błędu "Pamięć nie może być read". Czym to jest spowodowane, dlaczego przy niektórych grach i nie tylko takie okno mi wyskakuje? Czy da się to jakoś naprawić?

Poniżej załącza screen z tym błędem, podczas gry PES 2011.

 

Liczę na pomoc, Pozdrawiam.

[Flavius]

Skoro założyłeś temat w dziale wirusów więc musisz zastosować się do obowiązującego tu regulaminu KLIK

 

 

 

 

Witam,

 

Chciałbym się tutaj zwrócić z pytaniem odnośnie tego błędu "Pamięć nie może być read". Czym to jest spowodowane, dlaczego przy niektórych grach i nie tylko takie okno mi wyskakuje? Czy da się to jakoś naprawić?

Poniżej załącza screen z tym błędem, podczas gry PES 2011.

 

Liczę na pomoc, Pozdrawiam.

 

Błąd "pamięć nie może być read" lub "pamięć nie może być written" są spowodowane wyłączeniem jakiś usług,uszkodzeniem usług - teorytycznie może to być spowodowane przez wirusy także ale wcale niekoniecznie...bez logów to ciężko powiedzieć odnośnie twego przypadku...

 

Dodatkowa uwaga:gdy będziesz sporządzał raport w OTL w sekcji "Usługi" zaznacz "Wszystko" aby również systemowe usługi były widoczne.

[picasso]

Flavius

 

On co dopiero wyszedł stąd po leczeniu z rootkita TDL i pokazywał raporty: KLIK. Tematy zostaną scalone.

 

 

DariniO

 

dlaczego przy niektórych grach i nie tylko takie okno mi wyskakuje

 

Czyli konkretnie: przy czym to się pojawia (prócz PES 2011)? Sprawdź wstępnie czy to samo się dzieje po całkowitym wyłączeniu rezydenta AVG (tak szybko zaktualizowałeś AVG, że nawet nie było czasu stwierdzić czy te błędy występują także przy braku tego konkretnego antywirusa w systemie). Nie był tu także w ogóle wykonany ogólny skan na okoliczność wirusów.

 

 

.

[DariniO]

Ostatnio to tylko przy grach mi się to pojawia (m.in. GTA IV, PES 2011). Przy wyłączeniu rezydenta AVG błąd nadal wyskakuje. Skan AVG także nic nie wykazuje.

[picasso]

Sprawdź czy błąd występuje także w tych dwóch sytuacjach: w stadium czystego rozruchu (KB331796) oraz po testowym odinstalowaniu AVG.

Edytowane 14 Stycznia 2011 przez picasso
14.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso