Skocz do zawartości

Restarty


Rekomendowane odpowiedzi

Czesc - jestem tu pierwszy raz mając nadzieję, że będzie mi pomocni i wyrozumiali

 

w ciagu jednego dnia rozlozyl mi sie komputer - najpierw dostawalem informacje na Avirze o trojanie (pamietam, że w wyskakujacym okienku pojawiala sie jego nazwa: TR/Dropper.Gen )

 

przeskanowałem wtedy system Hijackem i po sprawdzeniu loga na stronie hijackthis.de nie wykryto nic zlego (choć jak rozumiem to nie jest wymierna analiza)

 

wobec tego że informacje z Aviry pokazywaly sie nadal natrętnie, probowalem pobrać program dr cure it i podczas pobierania, komputer zrestartowal sie i od tego czasu nie moge urochomic systemu XP, ktory startuje sie stale. poczatkowo mogłem wejsc jedynie w System Utilities bios poprzed klawisz F2. nie moge wejsc w tryb awaryjny poprzez F8..

 

nastepnie udalo mi sie uruchomic plytke instalacyjna WIndows XP i wybrac w instalatorze R. komendy fixboot, bootcfg rebuild nie pomogly. obecnie przy starcie pojawia sie jedynie ekran wyboru instalacji windowsa (na czarnym tle) i po wybraniu nastepuje nadal restart. w tym ekranie wyboru jest mozliwosc rowniez klikniecia F8 - pojawia sie ekran wyboru trybu awaryjnego i innych opcji ponizej (debugowanie itd inne na pewno wiecie ktore to opcje), ale wybor tam trybu awaryjnego konczy sie niepowodzeniem czyli restartem

 

nastepnie za poradą uzylem programow anntywirusowych - liveCD.

Dokonalem wpierw skanowania przy pomocy Avira Rescue System i skaner wykryl 7 plikow (w zapisie widzialem iz mialy w nazwie trojan i tak jak pisalem wyzej: ich nazwy zaczynajace się od TR, np. TR/Dropper.Gen). Niestety po ponownym rozruchu, system nadal nie uruchamia się i komputer sie restartuje...

Probowalem zapisac log i zrobilem to na partycji D (jako że komputer nadal sie restartuje - nie moge go "wyciagnac" z komputera i przenieść na drugi). Probowalem zapisac log na (sformatowanym) pendrivie, ale w oknie zapisu widoczne byly tylko opcje dysk C, D (twardy dysk) i E (CD/DVD ROM). W jaki sposób mogę zapisac log aby "wyciagnac go z tego komp. i przeslac tu z drugiego komputera?

 

Nastepnie uruchomilem Kaspersky Rescue Disk 10 - ale tu 'niespodzianka" - w oknie wyboru obszaru skanowania widac tylko dwie opcje: hidden startup objects i boot sectors. Nie ma w wyborze dyskow C i D - tak jak to jest w opisie krok po kroku obslgi Kasperskiego Rescue. Dlaczego?.. Czy to oznacza niepełną wersję programu? Nie wiem skąd takie ograniczenie.

 

Pobieram obecnie jeszcze Dr. Web LiveCD, ale po tych dwoch niepowodzeniach nie jestem juz optymistą.

 

Może znajdzie ktoś wyjście w tej sytuacji. Chyba pani Picasso jest moją ostatnią instancją. Proszę o pomoc

 

PS: Mam nadzieję, że w moim przypadku nie bedziecie bezwglednie stosowac regulaminu odnosnie zawierania w trescie postu loga - gdyż ja nie byłem w stanie uzyskać go i przedstawić tu

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wpierw wybaczcie wcześniejsze zamieszanie: z brakiem loga, a następnie niezauważeniem przeze mnie tego, że moj temat przesunieto, a nie skasowano go.

 

Już wykonalem skan i mogę przedstawić loga OTLPE.

 

Jako drugi dodaję jeszcze log, ktory wykonalem wczoraj po skanie na Avira Rescue System.

 

Proszę o dalsze wskazówki.

OTL.Txt

Avira Rescue.txt

Odnośnik do komentarza

Raport z OTLPE nie wskazuje bezpośrednio na obiekt o tak poważnym zasięgu działania, co nic jeszcze nie oznacza (może być np. infekcja w MBR dysku lub zagrzebana w plikach systemowych). Na razie widzę tu brak pliku powłoki explorer.exe (co się zgadza z wynikami Avira, która cięła kopię tego pliku w dllcache) i inne resztówki po infekcji:

 

/media/Devices/sda1/WINDOWS/system32/dllcache/explorer.exe 

/media/Devices/sda1/WINDOWS/system32/dllcache/winlogon.exe

vs.

 

O4 - HKU\pip_ON_C..\Run: [{FBDB30E6-C0D1-32E7-E95B-87E777E8752A}]  File not found

O20 - HKLM Winlogon: Shell - (Explorer.exe) - File not found

O33 - MountPoints2\{03bcadfd-5a05-11df-9153-00140b41d1b3}\Shell\AutoRun\command - "" = F:\RECYCLER\\autorun.exe Zq3Ax+1l+4fs#@VVoAQlKjP#m^02jfJoCJEUabDFRgYuPpxX8Ttmnls&6&Mf3hmpf

O33 - MountPoints2\{03bcadfd-5a05-11df-9153-00140b41d1b3}\Shell\open\command - "" = F:\RECYCLER\\autorun.exe 6rX61+dxZ2^kdQ!tTc@XwIJHNtku8ihCHLA8lbQy

[2011/01/22 16:00:58 | 000,000,000 | -H-- | C] () -- C:\Documents and Settings\pip\Dane aplikacji\K1J6dlDm87.txt

 

[b]1.[/b] Przygotuj materiały:

 

  • Pobierz czyste kopie plików winlogon.exe i explorer.exe w wersji zgodnej z Twoim systemem (XP SP3): KLIK. Pliki umieścisz na dysku z systemem w katalogu C:\Pliki, bo tę ścieżkę uwzględniam w skrypcie.
  • Spreparuj plik skryptu. Otwórz Notatnik i wklej w nim:

:Files
RECYCLER /alldrives
C:\Documents and Settings\pip\Dane aplikacji\K1J6dlDm87.txt
C:\Windows\explorer.exe|C:\Pliki\explorer.exe /replace
C:\Windows\system32\dllcache\explorer.exe|C:\Pliki\explorer.exe /replace
C:\Windows\system32\winlogon.exe|C:\Pliki\winlogon.exe /replace
C:\Windows\system32\dllcache\winlogon.exe|C:\Pliki\winlogon.exe /replace
 
:OTL
O4 - HKU\pip_ON_C..\Run: [{FBDB30E6-C0D1-32E7-E95B-87E777E8752A}]  File not found
O33 - MountPoints2\{03bcadfd-5a05-11df-9153-00140b41d1b3}\Shell\AutoRun\command - "" = F:\RECYCLER\\autorun.exe Zq3Ax+1l+4fs#@VVoAQlKjP#m^02jfJoCJEUabDFRgYuPpxX8Ttmnls&6&Mf3hmpf
O33 - MountPoints2\{03bcadfd-5a05-11df-9153-00140b41d1b3}\Shell\open\command - "" = F:\RECYCLER\\autorun.exe 6rX61+dxZ2^kdQ!tTc@XwIJHNtku8ihCHLA8lbQy
 
:Commands
[emptyflash]
[emptytemp]

Plik zapisz pod dokładnie taką nazwą: FIX.TXT. Plik ten też w jakiś sposób powinieneś udostępnić sobie, gdy już będziesz w środowisku OTLPE.

 

2. Startujesz do OTLPE, uruchamiasz OTL i wybierasz opcję Run Fix. Gdy padnie pytanie o skrypt, wskazujesz plik FIX.TXT. Przetwarzanie skryptu powinno się ukończyć samorestartem. Log z usuwania tu dostarcz oraz opowiedz co się dzieje po tej operacji.

 

3. Potrzebne więcej danych o tych restartach. Z poziomu OTLPE sprawdź czy katalog C:\Windows\Minidump jest niepusty. Jeśli są tam pliki DMP datowane zgodnie z nowymi restartami, skopiuj ten katalog, zapakuj do ZIP i umieść na jakiś hostingu typu SpeedyShare do analizy. Jeśli natomiast katalog pusty lub DMP w środku są stare, to nic z tego.

 

 

 

.

Odnośnik do komentarza

Zrobiłem tak jak poleciłaś. Katalogu Pliki w folderze Windows nie było - utworzyłem go i wkleilem tam podane przez Ciebie winlogon i explorer.

2. Startujesz do OTLPE, uruchamiasz OTL i wybierasz opcję Run Fix. Gdy padnie pytanie o skrypt, wskazujesz plik FIX.TXT. Przetwarzanie skryptu powinno się ukończyć samorestartem.

Nie wiem jak miało być w zamyśle ale po przetworzeniu skryptu restart nie nastąpił samoczynnie, i sam go wywołem z autostartu.

 

3. Potrzebne więcej danych o tych restartach. Z poziomu OTLPE sprawdź czy katalog C:\Windows\Minidump jest niepusty.

Ten folder jest zupełnie pusty.

 

System restartuje się nadal - bez zmian. Poza tym jedna dygresja - choć nie wiem czy ma to znaczenie: gdy system restartuje się - wpierw mam okno wejścia w bios (przez F2), a nastepnie ukazuje się czarny ekran z informacją

 

"Wybierz system operacyjny do urochomienia:

Microsoft Windows XP Home Edition

1

Microsoft Windows XP Home Edition"

 

Wybór każdej możliwości kończy się restartem. To czarne okno wyboru to chyba następstwo po mojej próbie naprawiania z płytki Windowsa XP (opcja napraw R) i wybrania tam jednej z komend. Nie wiem czy ma to znaczenie w obecnej sytucji. I jak się teraz tego ekranu wyboru ewentualnie pozbyć?

 

(u dołu ekranu jeszcze jest możlwość wejscia w opcje zaawansowane przez F8, ale tam wchodzenie w tryb awaryjny itd nic nie daje).

 

Przekazuję loga z po "run fix".

 

To chyba tyle co przekazuję - czekam na dalszy odzew i pomoc.

01312011_141707.txt

Odnośnik do komentarza

Pliki podstawione, wpisy usunięte. Jeśli skutków brak, musi być tu inny typ usterki, ale na razie trudno mi to zgadnąć.

 

Poza tym jedna dygresja - choć nie wiem czy ma to znaczenie: gdy system restartuje się - wpierw mam okno wejścia w bios (przez F2), a nastepnie ukazuje się czarny ekran z informacją

 

Ja to rozumiem od początku.

 

 

To czarne okno wyboru to chyba następstwo po mojej próbie naprawiania z płytki Windowsa XP (opcja napraw R) i wybrania tam jednej z komend. Nie wiem czy ma to znaczenie w obecnej sytucji. I jak się teraz tego ekranu wyboru ewentualnie pozbyć?

 

Masz zdublowane pozycje, bo wywołałeś BOOTCFG /REBUILD. Skutkiem tej operacji jest przyrost kolejnej pozycji w menu, która w istocie kieruje na ten sam Windows co pierwotna. Korekta tego jest prosta, można sobie zedytować BOOT.INI ręcznie, usuwając z sekcji [operating systems] nadwyżkę. To jednak można zrobić w dowolnej chwili. Wracam do tego:

 

 

probowalem pobrać program dr cure it i podczas pobierania, komputer zrestartowal sie i od tego czasu nie moge urochomic systemu XP, ktory startuje sie stale

 

Spróbuj jeszcze wywołać sprawdzanie dysku. OTLPE > Run > CMD > wpisz komendę CHKDSK C: /F /R

 

otlpechkdsk.gif

 

 

 

.

Odnośnik do komentarza

Spróbuj jeszcze wywołać sprawdzanie dysku. OTLPE > Run > CMD > wpisz komendę CHKDSK C: /F /R

 

wykonałem to, po zakonczeniu sprawdzania (i informacjach o pojemnosciach KB na dyskach) w oknie pozostaje mi wers

"B:\Documents and settings\Defaults User\Desktop>"

 

co należy teraz zrobić? zrestartować? czy może wygenerował się log po tej weryfikacji?

Odnośnik do komentarza

Czy były jakieś błędy odnotowane / naprawiane? Czy jest w statystykach inna liczba niż zero dla uszkodzonych sektorów?

 

w oknie pozostaje mi wers

"B:\Documents and settings\Defaults User\Desktop>"

 

co należy teraz zrobić? zrestartować? czy może wygenerował się log po tej weryfikacji?

 

To oznacza, że narzędzie skończyło. Jeśli coś robiło, zresetuj i sprawdź wyniki. Jeśli nic nie robiło, to nie ma co liczyć na zmiany.

 

 

 

.

Odnośnik do komentarza

W wynikach było "0 bad sectors". Brak innych niepokojących informacji.

 

A po restarcie brak zmian - wciąż restart systemu.

 

Jeszcze jedna być może istotna informacja - w momencie restartu - czyli po czarnym ekranie Windows i z przesuwającymi się "kwadracikami" na ułąmek sekundy pojawia się niebieski ekran z informacją w lewym górnym rogu, Po tym włąśnie następuje ponowny rozruch. Jeśli to istotne to postaram się odczytać ten tekst.

 

Jakie masz wnioski i ewentualne dalsze instrukcje w tej sytuacji?

Odnośnik do komentarza
Jeszcze jedna być może istotna informacja - w momencie restartu - czyli po czarnym ekranie Windows i z przesuwającymi się "kwadracikami" na ułąmek sekundy pojawia się niebieski ekran z informacją w lewym górnym rogu, Po tym włąśnie następuje ponowny rozruch. Jeśli to istotne to postaram się odczytać ten tekst.

 

Dlatego prosiłam o Minidump, bo tam jest zgrywany zrzut pamięci, gdy następuje BSOD, ale u Ciebie nie jest to nagrane w sposób trwały. Postaraj się więc wyczytać z ekranu kod błędu STOP 0x0000000X i czy nie widać tam pod spodem jakiegoś odnośnika do szczególnego pliku.

Odnośnik do komentarza

Musiałem użyć aparatu fotogr. ze statywem, aby sfilmować moment tego komunikatu, a potem odczytać na klatce filmowej co jest tam napisane :) i jest to taki komunikat:

 

STOP: c0000135 {nie można znależć składnika}

uruchomienie tej aplikacji nie powiodlo się, ponieważ nie znaleziono kernel32.dll. Ponowne zainstalowanie aplikacji moze naprawić ten problem.

Odnośnik do komentarza
STOP: c0000135 {nie można znależć składnika}

uruchomienie tej aplikacji nie powiodlo się, ponieważ nie znaleziono kernel32.dll. Ponowne zainstalowanie aplikacji moze naprawić ten problem.

 

Przyczyna wydaje się być jasna: brak biblioteki jądra. Proszę, plik w wersji XP SP3: KLIK. Plik wstaw do tych dwóch katalogów ręcznie z poziomu OTLPE:

 

C:\Windows\system32

C:\Windows\system32\dllcache

 

Zresetuj system i zobaczymy jakie wyniki.

 

 

.

Odnośnik do komentarza

Wszystko zdaje się być w porządku.

 

1. Drobnostki do usunięcia. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [Onet.pl AutoUpdate]  File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\explorer.exe"=-

Klik w Wykonaj skrypt. Loga z tego procesu nie musisz pokazywać.

 

2. W OTL wywołaj funkcję Sprzątanie, co usunie program i kwarantannę wygenerowaną przez OTL.

 

3. W dalszej kolejności zadania aktualizacyjne:

 

  • Deinstalacja antywirusa i wymiana najnowszą wersją: Avira AntiVir Personal.
  • Deinstalacja staroci Adobe Reader 6.0.2 CE i zastąpienie najnowszym Adobe Reader X (instaluj z ominięciem sponsora McAfee)
  • Rozważ też eliminację niepełnosprawnego Gadu-Gadu 7.7 na WTW lub Mirandę (Darmowe komunikatory)

4. Gdy ukończysz wszystkie te zadania modyfikacyjne, wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...