tgrzebien Opublikowano 6 Listopada 2014 Zgłoś Udostępnij Opublikowano 6 Listopada 2014 Witam, wczoraj dostałem od koleżanki laptopa do ogarnięcia. Najprawdopodobniej jest na nim jakiś wirus. Laptop to sony vaio na windowsie 8. Problemy:- brak dostępu do dysku C:/ (jedyna partycja) wyświetla - "C: nie jest dostępny. Odmowa dostępu."- nie da się włączyć aplikacji systemowych - wyświetla przy próbie uruchomienia - "Błąd sieciowy. System windows nie może uzyskać dostępu do ... Sprawdź pisownię nazwy. Możliwe również, że wystąpił problem z siecią"- nie da się wejść w tryb awaryjny (przy próbie ponownego uruchomienia z "Shift" nie pokazuję w ogóle okienka z wyborem trybów, tylko od razu przechodzi do windowsa)- ogólnie system wygląda jakby był cały poblokowany Laptop leżał w takim stanie u koleżanki kilka miesięcy.W pracy dałem go informatykowi, który zapuścił na nim combofixa, który naprawił system, ale po ponownym uruchomieniu systemu wszystko wraca jak przed naprawą. Zrobiłem logi z FRST, OTL. Przy próbie uruchomienia GMER'a wyskakuję niebieski ekranik z błędem i system się restartuje. EDIT: Udało mi się włączyć GMER, właśnie robi się raport. Edit: raport gotowy (dołączony do załączników), ale w pewnym momencie tworzenia raportu wyskoczyło: "C:/windows/system32/config/system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces." i tak samo z plikiem: ntuser.dat EDIT: Dodatkowo log z SecurityCheck: Results of screen317's Security Check version 0.99.89 x64 (UAC is enabled) Internet Explorer 10 Out of date!``````````````Antivirus/Firewall Check:`````````````` Windows Firewall Enabled! Windows Defender WMI entry may not exist for antivirus; attempting automatic update.`````````Anti-malware/Other Utilities Check:````````` Java 7 Update 5 Java version out of Date! Google Chrome 38.0.2125.111 ````````Process Check: objlist.exe by Laurent```````` Windows Defender MSMpEng.exe Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbam.exe Malwarebytes Anti-Malware mbamscheduler.exe Windows Defender MsMpEng.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 6 Listopada 2014 Zgłoś Udostępnij Opublikowano 6 Listopada 2014 Temat przenoszę do działu Windows. Brak oznak infekcji. Potem ewentualnie zajmę się korektą wpisów odpadkowych, obecnie nie ma to najmniejszego znaczenia. - brak dostępu do dysku C:/ (jedyna partycja) wyświetla - "C: nie jest dostępny. Odmowa dostępu." - nie da się włączyć aplikacji systemowych - wyświetla przy próbie uruchomienia - "Błąd sieciowy. System windows nie może uzyskać dostępu do ... Sprawdź pisownię nazwy. Możliwe również, że wystąpił problem z siecią" - ogólnie system wygląda jakby był cały poblokowany (...) W pracy dałem go informatykowi, który zapuścił na nim combofixa, który naprawił system, ale po ponownym uruchomieniu systemu wszystko wraca jak przed naprawą. O ile to nie jest problem sprzętowy, za znaczący uznaję fakt, iż ComboFix (którego notabene nie powinno się uruchamiać w takiej sytuacji) "pomógł" do następnego restartu. To sugeruje blokadę na poziomie procesów. I jest tu bardzo dobry podejrzany, tzn. zdefektowany McAfee. Pozorowana deinstalacja (fakt deinstalacji miał miejsce, bo brak już wejścia na liście zainstalowanych), w tle hula cała grupa przeterminowanych usług i sterowników: ==================== Processes (Whitelisted) ================= (McAfee, Inc.) C:\Windows\System32\mfevtps.exe (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\mfefire.exe (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\mcshield.exe ==================== Services (Whitelisted) ================= U2 McShield; C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe [237920 2012-06-22] (McAfee, Inc.) R2 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe [218320 2012-06-22] (McAfee, Inc.) R2 mfevtp; C:\Windows\system32\mfevtps.exe [177144 2012-06-22] (McAfee, Inc.) ==================== Drivers (Whitelisted) ==================== S3 cfwids; C:\Windows\System32\drivers\cfwids.sys [69672 2012-06-22] (McAfee, Inc.) S3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [169320 2012-06-22] (McAfee, Inc.) R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [300392 2012-06-22] (McAfee, Inc.) S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [66712 2012-06-18] (McAfee, Inc.) R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [513456 2012-06-22] (McAfee, Inc.) R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [752672 2012-06-22] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.) R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [335784 2012-06-22] (McAfee, Inc.) Zacznij od próby użycia McAfee Consumer Product Removal Tool, zresetuj system i zrób nowy log FRST (bez Addition i Shortcut). Problemem jest tu, że narzędzie będzie zapuszczone z poziomu trybu normalnego (czynny McAfee może przeszkodzić), bo awaryjny jest niesiągalny. Ale zobaczymy. - nie da się wejść w tryb awaryjny (przy próbie ponownego uruchomienia z "Shift" nie pokazuję w ogóle okienka z wyborem trybów, tylko od razu przechodzi do windowsa) Inne metody wejścia w awaryjny na Windows 8: - Z poziomu systemu: Użycie msconfig. Lub edycja BCD, by uaktywnić stary typ menu znany z Windows 7: KLIK. Niemniej przy syndromach blokady systemu nie wydaje mi się, by to przeszło i raczej odradzam próby. - Start z płyty instalacyjnej DVD Windows 8, o ile nośnik jest dostępny. . Odnośnik do komentarza
tgrzebien Opublikowano 6 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2014 Removal nie pomógł, dalej jest to samo. W załączeniu log. Płytki z W8 nie mam, no a inne sposoby nie działają, już je wcześniej próbowałem. Ewentualnie mogę zapuścić cmobofixa, żeby odblokować msconfig i tam ustawić tryb awaryjny, ale widzę że tego nie zalecasz. FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Listopada 2014 Zgłoś Udostępnij Opublikowano 7 Listopada 2014 Jak mówię, nie uruchamiaj ComboFix, to nie jest program do rozwiązywania tego rodzaju problemów. Narzędzie usunęło prawie wszystko od McAfee, ostała się jedna usługa, ale jest ona w stanie "Zatrzymano", więc raczej brak wpływu na system. Może to jednak jest problem sprzętowy, tzn. problem z dyskiem. W logu są ślady uruchamiania checkdiska i obcinania wadliwych danych: 2014-11-05 18:04 - 2014-11-06 13:49 - 00000000 ____D () C:\found.003 2014-11-06 13:49 - 2014-07-03 15:25 - 00000000 ____D () C:\found.002 2014-11-06 13:49 - 2014-06-24 18:57 - 00000000 ____D () C:\found.000 Podaj mi jeszcze spis uprawnień root dysku, przy okazji usunę odpadkowe wpisy, choć to jak mówiłam nie powinno w niczym pomóc. Otwórz Notatnik i wklej w nim: ListPermissions: C:\ S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.) S3 catchme; \??\C:\ComboFix\catchme.sys [X] FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll No File HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-4106931729-1466076011-650411161-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\ProgramData\*.bin C:\ProgramData\Temp C:\Users\Magda\AppData\Roaming\QuickScan C:\Windows\system32\netcfg-*.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. nie da się włączyć aplikacji systemowych + Płytki z W8 nie mam, no a inne sposoby nie działają, już je wcześniej próbowałem. Dodatkowe pytanie: czy da się wejść do ustawień Windows 8? . Odnośnik do komentarza
tgrzebien Opublikowano 11 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2015 Witam, pisze dopiero teraz, bo wcześniej nie miałem czasu na zajęcie się problemem. W ustawienia Windows 8 tzn. w panel sterowania da się wejść. A z tymi aplikacjami systemowymi, to zauważyłem teraz, że żadna aplikacja obojętnie jaka, która jest na pulpicie (bo tylko tutaj da się coś zobaczyć) pokazuje taki komunikat. Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się