picasso Opublikowano 4 Lutego 2011 Zgłoś Udostępnij Opublikowano 4 Lutego 2011 Wiem, że od Della, bo o tym mówiłeś. Wiem także jak wyglądają Delle i do czego służy ta ukryta partycja serwisowa. Ja pytam tylko i wyłącznie o Konsolę i jej pochodzenie. Czyli: skąd się wzięła na tym komputerze i czy w ogóle kiedykolwiek działała. Widzę, że nie potrafisz udzielić mi odpowiedzi na to pytanie. Aczkolwiek: system jak rozumiem czeski, to jeśli Konsola by pochodziła fabrycznie od producenta, to powinna mieć od razu czeską nazwę menu. Nie stosowałeś Ty aby kiedyś ComboFix na tym komputerze? Czy w tym MBR siedzi jakis robal? czy jest uszkodzony i dlatego ten problem? Czy można to zignorować? Nie wiem gdzie leży problem. Dlatego pytałam czy Konsola w ogóle kiedykolwiek działała .... A pytanie było stąd, że może Konsola nigdy nie startowała i zawsze był ten błąd. W takiej sytuacji przecież nie będę na siłę naprawiać tego, tylko zalecę całkowitą likwidację Konsoli. Acha no i mam wyłączoną indeksację plików. Nie rozumiem w jakim kontekście to mówisz. . Odnośnik do komentarza
jaro2010 Opublikowano 4 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2011 Combofixa stosowałem na innym kompie w okresie kiedy pisałaś o tym z innego miejsca. Na tym nie miałem takich problemów z wyjątkiem tych o których pisałem wcześniej i teraz. Mam na dysku combofixa i instrukcję, ale nie przypominam sobie abym go użył (zawsze się tego bałem) Poszukalem w rejestrze i znalazlem jakieś wpisy o nim.dam w załączniku. Naprawdę zastanawiam się jaki program który stosowałem mógł mi tą konsolę zainstalować. Mam gdzieś chyba ghosta zrobionego na samym początku Acronisem, jak dostałem della, przed instalacją mojego softu. Postaram się tam zajrzeć i zobaczyć czy są te pliki i wpis w boot.ini. Pytasz w jakim kontekście piszę niektóre rzeczy? - dlatego że się na tym nie znam i staram się jakoś pomóc a nie wiem jakie informacje są istotne. Nawet wylistowałem pliki z tej ukrytej partycji chociaż nie wiem czy to może się do czegoś przydać. Może tam czegoś brakuje? Na wszelki wypadek dołączę do postu ( w razie czego się skasuje) I proszę nie złość się na mnie. Nie robię tych błędów celowo. Jestem we stresie żeby niczego nie popsuć, a dzisiaj jakoś ciężko się ta strona ładuje i odświeża. combofix.txt dysk-ukryty-pliki.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2011 Zgłoś Udostępnij Opublikowano 4 Lutego 2011 Mam na dysku combofixa i instrukcję, ale nie przypominam sobie abym go użył (zawsze się tego bałem) vs. Poszukalem w rejestrze i znalazlem jakieś wpisy o nim.dam w załączniku. Z pewnością uruchamiałeś ComboFix na tym komputerze, bo te zapisy mogą się pojawić tylko i wyłącznie po uruchomieniu ComboFix (a nie po jego ściągnięciu na dysk i sobie siedzi). W kluczu Swearware powinno być znacznie więcej danych (gdy spojrzysz w ten klucz bezpośrednio w rejestrze) m.in. tam jest licznik ile razy uruchamiano narzędzie. W związku z tym: Naprawdę zastanawiam się jaki program który stosowałem mógł mi tą konsolę zainstalować. ComboFix. Podejrzenia tego nabrałam, gdy nie mogłeś skasować folderu CMDCONS, bo to właśnie Konsola instalowana przez ComboFix jest w taki sposób blokowana. Normalna instalacja Konsoli z CD nie skutkuje utworzeniem CMDCONS blokowanym przez uprawnienia. Możesz to sobie teraz potwierdzić: instalowałeś Konsolę z CD XP, czyli folder CMDCONS nie powinien być zablokowany i w jego Właściwościach w karcie Zabezpieczenia nie powinno stać "Odmów" dla grupy Wszyscy. Wnioski: Konsoli na tym komputerze fabrycznie nie było, nie jest wiadome czy w ogóle kiedykolwiek działała, nie widzę sensu na siłę i w ciemno reperować (może są warunki na tym Dellu uniemożliwiające to zadanie), Konsolę całkowicie usuń z dysku (już to robiłeś: popraw BOOT.INI, skasuj CMLDR + CMDCONS). I to zadanie zostawiamy w spokoju. Natomiast pytam: co się teraz dzieje z komputerem? Jakie problemy teraz notujesz? Jeśli nadal się ślimaczy, pamięć zajęta, to rozważ dalsze redukcje oprogramowania zabezpieczającego. Skoro chodzą strażniki Avast, to jeszcze osłony SpywareDoctor to strasznie dużo .... I proszę nie złość się na mnie. Nie robię tych błędów celowo. ? Ja się nie złoszczę. Po czym to wnioskujesz? Jestem we stresie żeby niczego nie popsuć, a dzisiaj jakoś ciężko się ta strona ładuje i odświeża. O tym jest w dziale Serwis. Między 18 a 19 codziennie jest ten problem i pracuję nad eliminacją tego defektu. . Odnośnik do komentarza
jaro2010 Opublikowano 4 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2011 No teraz to się spociłem. Aż mi się nie chce wierzyć że to zrobiłem. I to 2 razy?? Posyłam załącznik z rejestru, faktycznie jest tam to co piszesz. Katalog konsoli usunął się bez problemu. Po odinstalowaniu ad-aware wróciło wszystko do normy. Faktycznie, jak piszesz było to dla systemu duże obciążenie. Teraz wszystko pracuje dobrze. Jestem zadowolony bardzo. A z tym złoszczeniem się - EDIT2: Nie no bez przesady. - to chyba się troszkę zdenerwowałaś. Nie widziałem twojej odpowiedzi to pomyślałem że jeszcze coś dopiszę. A jak to zrobiłem to twój post się pojawił. Potem pisałem posta i kliknąłem żeby posłać, ale ponieważ się nic nie działo to dopisałem jeszcze linijkę i wysłałem. A pojawiły się 2 posty na stronie w odwrotnej kolejności. Dobrze,- Zrobiłem to co sugerowałaś. Jeszcze tylko przypomnę, że przeprowadzałem test od della, który sprawdzał cały system i urządzenia i nie stwierdził żadnego błędu na dysku. Ten mbr można jakoś sprawdzić - co z nim? Sprawdziłem programem mbr.exe i remover,exe i mam logi - czy jest to o.k? mbr-log.txt Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2011 Zgłoś Udostępnij Opublikowano 5 Lutego 2011 Jeszcze tylko przypomnę, że przeprowadzałem test od della, który sprawdzał cały system i urządzenia i nie stwierdził żadnego błędu na dysku.Ten mbr można jakoś sprawdzić - co z nim? Sprawdziłem programem mbr.exe i remover,exe i mam logi - czy jest to o.k? Odczyt "Unknown boot code" wygląda po prostu na niemożność zdefiniowania MBR Della. I nie to miałam na myśli z MBR. Moje uprzednie wypowiedzi miały sugerować, że problemem jest MBR Della (dostosowane przez producenta aka nietypowe) a nie MBR zainfekowane, co jest równoznaczne z porzuceniem tematu i nie grzebaniem na siłę, by nie zepsuć fabrycznego układu. Dlatego pytałam czy Konsola się kiedykolwiek uruchamiała (w domyśle: nigdy nie działała na tym układzie). Zdefiniowałam, że Konsola pochodzi niewątpliwie od ComboFix i zaleciłam jej deinstalację mówiąc: "I to zadanie zostawiamy w spokoju.". Co oznacza: nie dręczymy już tematu MBR. Nie mam podstaw myśleć, że jest tu infekcja tego rodzaju. Ukończyliśmy zadanie z Kaspersky TDSSKiller (wykrywa bootkity), który notował jeden sfałszowany plik pomyślnie tu już zamieniony i nic więcej nie wykrywa. Deinstalacja Ad-aware polepszyła chód systemu. Sprawa wygląda na rozwiązaną. No teraz to się spociłem. Aż mi się nie chce wierzyć że to zrobiłem. I to 2 razy??Posyłam załącznik z rejestru, faktycznie jest tam to co piszesz. Odświeżaj pamięć. Możesz w całości skasować klucz Swearware z rejestru. A z tym złoszczeniem się Skądże. To nie była złość. Wykazałam po prostu zniecierpliwienie. . Odnośnik do komentarza
jaro2010 Opublikowano 5 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2011 Dzięki serdeczne za pomoc. Faktycznie będę musiał znaleźć jakiś środek, ale nie w postach tylko w aptece... Bez tego wpisu - to nawet jakby mnie torturowali to bym się nie przyznał bo po prostu nie pamiętałem. Czytam teraz posty o tworzeniu kopii rejestru (zrobię na pewno), ale jakoś nie udało mi się znaleźć programu do tworzenia kopii MBRa. Jeżeli możesz to napisz proszę jakiś link do twojego posta o tym - nie chcę szukać po omacku na innych stronach, ponieważ mam do ciebie zaufanie. Wasze forum bardzo mi się podoba, starannie prowadzone - z sensem - fachowo - gratulacje. I jeszcze raz dzięki bardzo Kiedyś Katowice - teraz Ostrawa - pozdrawiam JG Odnośnik do komentarza
switch48 Opublikowano 5 Lutego 2011 Zgłoś Udostępnij Opublikowano 5 Lutego 2011 jaro2010 do kopii MBR ściągnij sobie np. MBRTool Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2011 Zgłoś Udostępnij Opublikowano 5 Lutego 2011 Czytam teraz posty o tworzeniu kopii rejestru (zrobię na pewno), ale jakoś nie udało mi się znaleźć programu do tworzenia kopii MBRa. Masz te programy pod samym nosem. Bootkit Remover i MBRCheck posiadają opcję zrzucania MBR do pliku. Poza tym jest dużo innych narzędzi umożliwiających tworzenie kopii zapasowej MBR, np.: MBRFix MBRUtil MBRWizard HDHacker . Odnośnik do komentarza
jaro2010 Opublikowano 6 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2011 Witam. Już myślałem że to koniec tematu, ale kiedy avast dokonał skanu automatycznego wykrył wirusy w system32 w drivers od drukarki (napisał wysokie zagrożenie). Przeslanowałem TDSSkillerem i znalazł 2 zagrożenia. Nic nie drukowałem, natomiast w nocy pracował azureus (w plikach które pobrał moje skanery nic nie wykryły). Poradź coś bo to właśnie jest to o czym pisałem, kolejne pliki się zarażają, ja nic nie instalowałem, tylko odwrotnie (odinstalowałem programy). Skąd te paskudy się tam biorą ??. Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2011 Zgłoś Udostępnij Opublikowano 6 Lutego 2011 Może spróbuj przeskanować ten system z poziomu zewnętrznego środowiska za pomocą płyty Kaspersky Rescue Disk. Przedstaw wyniki. Skąd te paskudy się tam biorą ??. Jak to się mogło zacząć: keygen. MBAM pokazywał, że kręcisz się w tym środowisku. W dzisiejszych czasach hasło "keygen" to jest gwarancja otrzymania niespodzianki i większe prawdopodobieństwo trojana aniżeli faktycznego scrackowania programu. Żadnych keygenów i cracków. Tego rodzaju się pozbądź z systemu w sposób całkowity. . Odnośnik do komentarza
jaro2010 Opublikowano 6 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2011 Próbowałem to zrobić, ale niestety nie powiodło się. Po starcie z płyty w części OPEN RC 0.6.4. IS STORING UP GENTOO LINUX (i686) zatrzymuje się na "WAINTING FOR UEVENTS TO PROCESSED i nic nie pomaga, trzymałem go pół godziny i pozostał tylko POWER. Próbowałem także zrobić tą płytkę z disk updater a także na USB. W obu przypadkach (także przy tworzeniu nowego ISO) Głosi że !!BOOTSECTOR MISSING!! Z CD ghost 14 startuje i sprawdza - ale to staroć. (tylko do sprawdzenia i mam dostęp do plików na dysku) Opisałaś tam jeszcze kilka programów ale nie wiem co by było lepsze i w jakiej kolejności? Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2011 Zgłoś Udostępnij Opublikowano 7 Lutego 2011 Skoro Gentoo nie chce bootować to: Opisałaś tam jeszcze kilka programów ale nie wiem co by było lepsze i w jakiej kolejności? Wypróbuj Dr. Web LiveCD. Dołączam instrukcje jak zachować raport skanowania: KLIK. Odnośnik do komentarza
jaro2010 Opublikowano 9 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2011 Witam. Dr. Web LiveCD - skanował 13 godzin z czego na "doc i setting" 10 godz.i jechał w kółko. Kursor myszy nie działał,(sprawdziłem 3 myszki - a touch pad też nie działał) ale udało mi się zapisać szczątkowego loga. Skanowałem jeszcze Bitdefender nie znalazł nic, Avg - w kompie nic nie znalazł, (przy skanie innego dysku na usb (6 godz) znalazł może 30 podejrzanych plików (w lokalizacjach programów ściągniętych z netu (na tym dysku nie ma systemu) - te pliki oczywiście wykasuję) ale nie wykonał polecenia zmiany nazw plików ani loga, w związku z czym będę musiał jeszcze przeskanować raz czymś innym(???). natomiast dzisiaj TDSSkiller znalazł coś w sys32/drivers w pliku (używanym przez system) sptd.sys. wykopiowałem plik spod nie działajacego systemu, wpuściłem na virus total, który znalazł virusa jakiego jeszcze wczoraj nie wykrywał. Posyłam logi, Nie wiem co jest u mnie z tymi płytami startowymi? Normalnie jestem załamany, że to nie chce działać. ISO nagrywam programem który jest przez was preferowany (active iso burner) gdzie wszystko wydaje się być o.k. Nie wiem co dalej? Czy mam sprawdzać wszystkie plyty startowe po kolei? Pozdrawiam... drveblivecd.txt TDSSKiller.2.4.8.0_06.02.2011_12.54.11_log.txt virustotall-raport.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2011 Zgłoś Udostępnij Opublikowano 9 Lutego 2011 natomiast dzisiaj TDSSkiller znalazł coś w sys32/drivers w pliku (używanym przez system) sptd.sys.wykopiowałem plik spod nie działajacego systemu, wpuściłem na virus total, który znalazł virusa jakiego jeszcze wczoraj nie wykrywał. Ale to przecież jest opisane w przyklejonym temacie. Ten wynik się omija, bo to sterownik aplikacji do tworzenia wirtualnych napędów (DAEMON Tools i Alcohol). Jeśli SPTD jest czynny, zawsze będzie pokazany w TDSSKiller jako "Locked", bo tak działa ten sterownik. Cytuję z mojego opisu: Uwaga: przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie główne ogłoszenie działu: Oprogramowanie emulujące napędy. Wyniki VirusTotal dla mnie miało wiarygodne, wykrył tam coś podrzędny eSafe i moim zdaniem jest to fałszywy alarm. Nasuwa się pytanie: czy TDSSKiller coś teraz (poza SPTD) wykrywa? Log z TDSSKiller jest sprzed kilku dni, a na plikach tam pokazanych podjąłeś akcję "Quarantine", czyli uznaję to za finalizację historii tych dwóch sterowników. Dr. Web LiveCD - skanował 13 godzin z czego na "doc i setting" 10 godz.i jechał w kółko. Kursor myszy nie działał,(sprawdziłem 3 myszki - a touch pad też nie działał) ale udało mi się zapisać szczątkowego loga. Te wyniki do zignorowania, to najwyraźniej fałszywe alarmy: OTL (trojana wykrywa w OTL u mnie również inne narzędzie tej marki czyli Dr. Web CureIt), ComboFix, HaxFix, Flash Disinfector i płyta Avira. Zostały trzy, o których nie wiem co sądzić, choć przypuszczalnie ten trzeci to tylko dlatego, że zawiera specyficzne narzędzia, których interpretacja ociera się o słowo "hacking": /win/D:/Documents and Settings/jaro/Dokumenty/Pobieranie/Brothersoftdownloader_for_ophcrack.exe - infected Trojan.DownLoader1.43606/win/D:/Documents and Settings/jaro/Dokumenty/Azureus Downloads/aaa-soft/Swift.3D.v4.with.Models.and.Tutorials.and.Xpress.for.Flash/Swift.3D.v4.with.Models.and.Tutorials.and.Xpress.for.Flash.iso - infected Trojan.Proxy.18443/win/D:/Documents and Settings/jaro/Dokumenty/Azureus Downloads/aaa-soft/hasla/super-winpe-plus-2004-v6/Super.WinPE.Plus.2004.v6.iso - riskware Program.RemoteAdmin Nie wiem co jest u mnie z tymi płytami startowymi? Normalnie jestem załamany, że to nie chce działać. Nie rozumiem do czego to odnosisz. Z opisu wynika, że płyty nagrałeś i działały, bo skan został wykonany. Kursor myszy nie działał,(sprawdziłem 3 myszki - a touch pad też nie działał) ale udało mi się zapisać szczątkowego loga. Touchpad to raczej też nie będzie działał w takim środowisku (nie ma sterownika za to odpowiedzialnego). . Odnośnik do komentarza
jaro2010 Opublikowano 9 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2011 O.K - to znaczy że mam wszystko dobrze. "Zostały trzy, o których nie wiem co sądzić," - już wykasowałem dla pewności ( nie są istotne dla życia mojego PC). Napisałem że Dr. Web LiveCD - skanował 13 godzin z czego na "doc & setting" 10 godz. i jechał w kółko. Nie dokończył skanu. Właściwie każdy z tych programów nie działał w pełni. Zastanawiałem się czy tylko u mnie są takie problemy, czy jest to normalne zjawisko? Nie używam DAEMON Tools i Alcohol - tylko Ultra Iso (który od początku "leczenia" jest wyłączony. Nie wiedziałem tylko że jeżeli nie wykrył tego 2 dni temu to dlaczego teraz? Ale uspokoiłaś mnie. W każdym przypadku jestem zadowolony, ponieważ wszystko wróciło do normy. Te problemy które miałem na początku - zniknęły. Dzięki serdeczne za fachową pomoc i "oby nie" do następnego razu. Życzę sukcesów na "polu walki" - JG Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2011 Zgłoś Udostępnij Opublikowano 10 Lutego 2011 Nie używam DAEMON Tools i Alcohol - tylko Ultra Iso (który od początku "leczenia" jest wyłączony. Nie wiedziałem tylko że jeżeli nie wykrył tego 2 dni temu to dlaczego teraz? SPTD nie jest ekskluzywny tylko dla tych dwóch programów emulacyjnych. Coś musiało zostać zainstalowane, co wprowadziło ten sterownik, i uaktywnione w ostatnim czasie, w przeciwnym wypadku nie mogę wytłumaczyć skąd nagłe przebudzenie się TDSSKiller (który bez trudu to wykrywa i notuje, jeśli sterownik jest w stadium czynnym). Na pewno jest to plik u Ciebie nieszkodliwy. TDSSKiller przeliczył jego sumę kontrolną na równą cdddec541bc3c96f91ecb48759673505, co jest zgodne z jedną z wersji SPTD. Ostatecznie, możesz wytworzyć ponownie logi z OTL (nie zapomnij o Extras) w celu wytypowania który program był ewentualnym sprawcą osadzenia tego sterownika. Napisałem że Dr. Web LiveCD - skanował 13 godzin z czego na "doc & setting" 10 godz. i jechał w kółko. Nie dokończył skanu.Właściwie każdy z tych programów nie działał w pełni. Zastanawiałem się czy tylko u mnie są takie problemy, czy jest to normalne zjawisko? Długi skan Dr. Web LiveCD to nic szczególnego, w moich testowych wirtualizerach to idzie jak krew z nosa (nie przetrzymałam testowego skanowania, a chodziło tylko o fragment związany z Pulpitem). Natomiast nie za bardzo rozumiem ten efekt "jazdy w kółko". Należy uczynić jednak notatkę, że te płyty to głównie twory obce Windows, bo oparte na silnikach Linuxowych, toteż nie są wykluczone jakieś "herezje". Z tą martwą myszką to możliwe, że to jakiś bug ujawniony na Twojej konfiguracji. Podobny typ defektu już był zgłaszany na forum Dr. Web (KLIK), aczkolwiek to dotyczy starszej wersji i teoretycznie powinno być naprawione... . Odnośnik do komentarza
jaro2010 Opublikowano 10 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2011 Witam. Jazda w koło znaczy, że katalog "Documents and Settings" skanował (takie miałem wrażenie) w kółko. W wolnej chwili spróbuję go zapuścić jeszcze raz i niech się "zamęczy", aż przeskanuje. Posyłam ligi z OTLa. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2011 Zgłoś Udostępnij Opublikowano 10 Lutego 2011 Porównanie czasów: DRV - [2011.02.07 11:14:02 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) + [2011.02.07 11:13:35 | 000,000,000 | ---D | C] -- C:\Program Files\LSoft Technologies[2011.02.07 11:13:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\NabÃdka Start\Programy\Active@ ISO Burner SPTD musi pochodzić z Active ISO Burner. Program ma opcję nagrywania przy wykorzystaniu interfejsu SPTD: Prawdopodobnie wybrałeś opcję instalacji typu "Complete" a nie "Custom" - w takim przypadku narzędzie ma planowaną instalację wszystkich cech i przeprowadza detekcję sterownika SPTD, przy jego braku zgłasza komunikat "No SPTD version was detected" z dialogiem instalacji i musiałeś to zatwierdzić ręcznie (należało to ominąć). Deinstalacja SPTD z systemu opisana w ogłoszeniu: KLIK. . Odnośnik do komentarza
jaro2010 Opublikowano 10 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2011 (edytowane) Deinstalowano, klucze skasowano. Edytowane 11 Lutego 2011 przez picasso Rozumiem, że temat jest ukończony, zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi