dopshot Opublikowano 5 Lutego 2011 Zgłoś Udostępnij Opublikowano 5 Lutego 2011 Witam Klika dni temu miałem duzy atak wirusów od tamtej pory nie mam dźwięku. Opis problemu jest tutaj http://www.forumpc.pl/index.php?showtopic=196144 Jeden forumowicz który dużo czasu na mnie spędził poradził otworzenie tematu tutaj i wcześniejsze użycie programu OTL, raporty z OTL sa w zał. Proszę o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Lutego 2011 Zgłoś Udostępnij Opublikowano 5 Lutego 2011 Zabrakło obowiązkowego loga z GMER pod kątem rootkitów więc prosze go uzupełnić. W razie problemów masz tam drugie narzędzie RootRepeal. W logach infekcja masowo podstawiająca sterowniki czego dowodem sa te obiekty w logu: [2011-02-02 08:38:55 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys.bak [2011-02-02 08:38:55 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys [2011-02-02 08:38:55 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\dllcache\lbrtfdc.sys [2011-02-02 08:38:49 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\Changer.sys.bak [2011-02-02 08:38:49 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\changer.sys [2011-02-02 08:38:49 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\changer.sys [2011-02-02 08:38:41 | 000,008,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\i2omgmt.sys Takich plików na XP być nie powinno, domyślnie mają być tylko bezplikowe usługi o tych samych nazwach. To pewnie też jest powód problemów z dźwiękiem. 1. Start >>> uruchom >>> devmgmt.msc i na liście urządzeń odnajdź pozycję z wykrzyknikiem lub pytajnikiem. Jeśli takie są z prawokliku odinstaluj pozycję i wykonaj restart komputera. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\drivers\lbrtfdc.sys.bak C:\WINDOWS\System32\drivers\lbrtfdc.sys C:\WINDOWS\System32\dllcache\lbrtfdc.sys C:\WINDOWS\System32\drivers\Changer.sys.bak C:\WINDOWS\System32\drivers\changer.sys C:\WINDOWS\System32\dllcache\changer.sys C:\WINDOWS\System32\dllcache\i2omgmt.sys :OTL IE - HKU\S-1-5-21-1957994488-1085031214-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2010-12-23 08:50:16 | 000,002,559 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\9ujr15il.default\searchplugins\askcom.xml [2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\9ujr15il.default\searchplugins\BearShareWebSearch.xml [2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O2 - BHO: (no name) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - No CLSID value found. O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1957994488-1085031214-725345543-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1957994488-1085031214-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll) - File not found O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\DataMngr\IEBHO.dll) - File not found O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Moduł wstępnego ładowania interfejsu Browseui - Reg Error: Key error. File not found O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demon buforu kategorii składników - Reg Error: Key error. File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania > dodaj/usuń programy i odinstaluj zbędne pozycje - Google Toolbar / Skype Toolbars 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
dopshot Opublikowano 6 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2011 Mimo iz nie posiadam żadnych wirtualnych napedów to program Gmer wyświetlał tylko niebieski brzydki ekran i reset, nie wiem co to są za programy które wchodzą w reakcję z Gmer'em, RootReap nie robił tylu problemów wszystko poszło zgodnie z zaleceniem. Po wpisaniu własnego skryptu doszło do uruchomienia PC ale nie wiem czy tak być powinno system zawiesił sie na "zamykanie systemu window" - tak myślę że sie zawiesił bo zamykanie trwało 40 min i nic z tego nie wyszło. Ostatecznie użyty został Reset. Jestem laikiem i paru zwrotów nie rozumiem ale nie będę o to pytał Google będzie pomocne. Dzięki za wsparcie. aaa i raport z OTLa jest 3 w kolejności wykonany po odinstalowaniu gogle tolbar (zapomniałem o tym puunkcie) wcześniejszy raport z otl nie moze zostać dołożony gdyż nie mam uprawnień do dodawania tego typu plików ? ale od góry jest tekst: All processes killed ========== FILES ========== C:\WINDOWS\System32\drivers\lbrtfdc.sys.bak moved successfully. C:\WINDOWS\System32\drivers\lbrtfdc.sys moved successfully. C:\WINDOWS\System32\dllcache\lbrtfdc.sys moved successfully. C:\WINDOWS\System32\drivers\Changer.sys.bak moved successfully. C:\WINDOWS\System32\drivers\changer.sys moved successfully. C:\WINDOWS\System32\dllcache\changer.sys moved successfully. C:\WINDOWS\System32\dllcache\i2omgmt.sys moved successfully. ========== OTL ========== RootRepeal report 02-05-11 (23-59-14).txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 6 Lutego 2011 Zgłoś Udostępnij Opublikowano 6 Lutego 2011 wcześniejszy raport z otl nie moze zostać dołożony gdyż nie mam uprawnień do dodawania tego typu plików ? Raport ma rozszerzenie .LOG, a my tu na forum dopuszczamy .TXT więc wystarczyło tylko zmienić rozszerzenie. Skrypt pomyślnie wykonany. Wprawdzie niektóre pliki się odtworzyły, ale to prawdopodobnie system je przywrócił i to już tak się zostawia. Przejdźmy do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK Teraz pytanie do ciebie czy problem z dźwiękiem nadal występuje? Odnośnik do komentarza
dopshot Opublikowano 6 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2011 Dźwięku dalej nie ma. Sprawa wygląda jak wcześniej tyle że nie pojawia się już komunikat. (zał błąd dll) Sytuacja wygląda jak w zał 2 (błąd winampa), nic nie instalowałem a w MU mam masę urządzeń Może zrobiłem coś nie tak. Spróbuje jeszcze raz wszystkie kroki. Odnośnik do komentarza
Landuss Opublikowano 6 Lutego 2011 Zgłoś Udostępnij Opublikowano 6 Lutego 2011 Wszelkie pozycje z wykrzyknikiem należy odinstalować i zrestartować komputer. Wykonaj to i zobaczymy jaki będzie efekt. Odnośnik do komentarza
dopshot Opublikowano 6 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2011 Zrobione i tak to wygląda Odnośnik do komentarza
switch48 Opublikowano 6 Lutego 2011 Zgłoś Udostępnij Opublikowano 6 Lutego 2011 dopshot no i super Brak "steru" do głównego kontrolera dźwięku. Co to jest? Na PG siedzi chip Realtek AC97? Spróbuj => klick Odnośnik do komentarza
dopshot Opublikowano 6 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2011 Niestety było by fajnie gdyby to były sterowniki. Przy instalacji wybrałem by mimo wszystko zainstalować, mam ściągane sterowniki do plyty głownej i jakieś sterowniki do AUDIO, czy błąd który zostął naprawiony mógł blokować poprawne działanie sterowników ? Próbowałem instalować najnowsze sterowniki i nieco starsze oba bez rezultatu. W zał. plik OTL może ktoś tam jeszcze coś wypatrzy OTL.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2011 Zgłoś Udostępnij Opublikowano 7 Lutego 2011 Ta szczególna infekcja wrzuca masowo podrobione pliki o nazwach zgodnych ze sterownikami Windows i tworzą się konflikty w Menedżerze. Ślady pośrednie tej infekcji tu są, w postaci uzupełnionych sterowników typu changer.sys. Normalnie tych na XP nie ma (są tylko puste usługi), infekcja wstawia fałszywy plik changer.sys, a Ochrona plików Windows reaguje i z cache sterowników roluje. Dlatego masz te pliki, ale już z sygnaturą właściwego producenta. Pokłosiem infekcji są masowo poszkodowane urządzenia relatatywne do kontrolerów dźwiękowych. Zwykle pomaga proste usunięcie via Menedżer urządzeń. Tu u Ciebie po tej operacji został jeszcze jeden reinstalujący się niepoprawnie obiekt. W związku z tym: 1. Mówiłeś "nod32 odszukał kilka rożnych trojanów które zostały usunięte" = proszę pokaż dokładny raport z NOD na ten temat. 2. W Menedżerze urządzeń pobierz Właściwości tej zdefektowanej pozycji. W karcie Sterownik wyciągnij detale do jakiego pliku sterownika to się odnosi. W karcie Szczegóły z rozwijalnej listy pobierz Service oraz Device ID / Hardware ID i przeklej tu. 3. Zaprezentuj wykaz wszystkich wystąpień pliku RtkHDAud.sys. Uruchom OTL, ustaw wszystkie sekcji na Brak / Żadne i w sekcji Własne opcje skanowania / skrypt wklej: /md5start RtkHDAud.sys /md5stop Klik w Skanuj (a nie Wykonaj skrypt). Przedstaw wyniki. . Odnośnik do komentarza
dopshot Opublikowano 7 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2011 1. Wykrycie przez noda było pokazane przez "białe dymki" z informacja że coś zostało znalezione. Jeżeli to może pomóc to wysyłam to co zostało rzucone do kwarantanny i z opcji log w nodzie (nie wiem jak zrobić lub pokazać raport... ) http://img232.imageshack.us/g/logfilesnod.jpg/ 2. Tutaj link o Detale (mam nadzieje ze dobrze zrozumiałem o co chodzi.) http://img204.imageshack.us/g/szczegolysterownika4.jpg/ są 4 części ponieważ ta lista jest dosyć długa. 3. w zał... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2011 Zgłoś Udostępnij Opublikowano 10 Lutego 2011 Jeżeli to może pomóc to wysyłam to co zostało rzucone do kwarantanny i z opcji log w nodzie (nie wiem jak zrobić lub pokazać raport... ) Zaznaczenie wyników w oknie i opcja Copy? Obrazek numer dwa i trzy potwierdzają tylko to co wiemy, czyli typ infekcji tworzącej falsyfikaty sterowników. Nie ma tu jednak żadnego odnośnika do sterownika Realtek jako takiego. Wyszukiwanie tego sterownika w systemie zwraca wyniki, które nie budzą zastrzeżeń, tzn. jest to sygnowany plik Realtek. Tutaj link o Detale (mam nadzieje ze dobrze zrozumiałem o co chodzi.) Dane niekompletne. mówiłam: W karcie Szczegóły z rozwijalnej listy pobierz Service oraz Device ID / Hardware ID i przeklej tu. 1. Jaki błąd figuruje dla tego urządzenia - przepisz komunikat. 2. Nasuwa się pytanie czy w aktualnej sytuacji (po usunięciu innych wadliwych urządzeń): - ponowienie opcji deinstalacji urządzenia + restart rekonstruuje prawidłowo urządzenie? - w oknie właściwości tego urządzenia uruchomienie opcji Aktualizuj sterownik ma wymierne skutki? . Odnośnik do komentarza
dopshot Opublikowano 10 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2011 W zal brakujące pliki odnośnie punktu 2. oba rozwiązania nie dają wymaganego wyniku. "- ponowienie opcji deinstalacji urządzenia + restart rekonstruuje prawidłowo urządzenie?" nie. "- w oknie właściwości tego urządzenia uruchomienie opcji Aktualizuj sterownik ma wymierne skutki? " podczas aktualizacji sterowników z CD która mam do płyty głownej wyskakuje komunikat (zał. błąd instalacji), po wybraniu opcji "mimo to kontynuuj" podczas isntalacji MU powieksza sie o kolejne zółte "znaczki" nod info.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Kod 19 "Nie można uruchomić tego urządzenia sprzętowego, ponieważ jego dane o konfiguracji (w rejestrze) są niekompletne lub uszkodzone" - reinstalacja jednak nie pomaga a na dodatek wszystkie urządzenia tej samej klasy pokazują wykrzykniki. To sugeruje filtr sprzętowy nałożony na całą klasę urządzeń (lub klasa jako taka ma niepełne dane). Pokaż mi do wglądu cały klucz klasy kontrolerów dźwięku, wideo i gier. Start > Uruchom > regedit i wyeksportuj z prawokliku do pliku REG ten cały klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318} Otwórz zawartość pliku REG w Notatniku i przeklej tu całość. Odnośnik do komentarza
dopshot Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Plik w zał. regedit.txt reg w notatniku.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Jest tu podejrzany - figuruje tu filtr sprzętowy dla całej klasy dźwiękowej: Nazwa klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318} Wartość 6 Nazwa: LowerFilters Typ: REG_MULTI_SZ Dane: LVUSBSta Filtrem jest sterownik Logitech. Problem opisany także tu: KLIK. 1. W podanym wyżej kluczu skasuj wartość LowerFilters i zresetuj system. Po tej operacji (o ile filtr nie wróci) wszystkie urządzenia klasy kontrolerów dźwięku, wideo i gier powinny zostać ożywione. 2. Wyszukaj czy nie ma większej ilości wystąpień tego szczególnego filtra. Uruchom OTL, ustaw wszystkie opcje na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej: hklm\system\currentcontrolset|LVUSBSta /RS Klik w Skanuj i przedstaw wyniki. . Odnośnik do komentarza
dopshot Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 w MU nie mam już nic żółtego dodatkowo obok zegarka pojawiła się ikona "dźwięku" której nie było ale problem z winampem dalej się pojawia (błąd 88.....) jeżeli chodzi o 2 punkt to OTL zawiesza się za każdym razem na jednym pliku (widocznym w screenie). W trybie awaryjnym nie było tego problemu lecz OTL nie pokazał mi żadnego pliku po prostu skończył skanowanie i się wył. Mogę ustawić coś by otrzymać plik który jest potrzebny ? Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 ale problem z winampem dalej się pojawia (błąd 88.....) Pytanie: czy w kompie teraz działają dźwięki poza WinAmpem? Jeśli tak, problemem jest w tym momencie konfiguracja WinAmp, czyli należy spojrzeć do preferencji odtwarzacza na ustawienia Direct sound output co jest tam ustawione i wybrać właściwe urządzenie. W trybie awaryjnym nie było tego problemu lecz OTL nie pokazał mi żadnego pliku po prostu skończył skanowanie i się wył. Jeśli to znaczy, że OTL w awaryjnym bez trudu skanuje na podanym warunku, ale nie zwraca żadnego wyniku, to przecież to oznacza, że nie ma w rejestrze już żadnych odnośników do filtra Logitecha. Albo ja nie rozumiem co do mnie mówisz. . Odnośnik do komentarza
dopshot Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Niby wszystko gra ale dźwięku brakuje w grach, winampie na youtube, filmach. Instalowałem jeszcze raz dźwięk z CD która mam do płyty głównej lecz to nie pomogło. Wygląda jak by nie było żadnych urządzeń podłączonych. Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Na tym obrazku, w karcie Audio, co jest wybrane jako domyślne urządzenie? Odnośnik do komentarza
dopshot Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 nic Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Otwórz Menedżer urządzeń i w gałęzi Kontrolery dźwięku, wideo i gier odinstaluj z prawokliku wszystkie pozycje które oferują taką opcję i zresetuj system. Nie instaluj żadnych sterowników ręcznie, pozwól się zreinstalować urządzeniom samoczynnie po restarcie. Przedstaw wyniki tego działania. Odnośnik do komentarza
dopshot Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 Podczas instalacji z płyty wyskoczyła niespodzianka (zdj 1), raczej wiedzy nie mam ale chyba chce by mu pokazać ścieżkę do pliku - wybrałem D:\Audio\Realtek\HD_Audio\WDM (CD dodadny do płyty głównej) no i wyskoczył komunikat (zdj 2) klikam "mimo to kontynuuj." po chwili wyskoczył jeszcze jeden komunikat jak na zdj1 również wybrałem ścieżkę z płyty tym razem nie było błędu zgodności. Zakończono. Obok zegarka komunikat o zainstalowaniu nowego sprzętu i jego gotowości do użycia. W MU pojawiła się ikona która odinstalowałem. W panelu sterowania nic się nie zmieniło. Może próbować z innymi sterownikami ? Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2011 Zgłoś Udostępnij Opublikowano 11 Lutego 2011 1. Czy Twoje działania ograniczyły się tylko do pozycji Realtek? Nie było tam przypadkiem jeszcze jednej pozycji dającej się odinstalować? Mam na myśli (patrząc na ostatni z dostarczonych obrazków pokazujących wejścia w gałęzi kontrolerów) "Urządzenie audio Microsoft Kernel System". Poza tym, czy restartowałeś system po operacjach? 2. W Menedżerze urządzeń z menu Widok włącz pokazywanie ukrytych urządzeń. Czy na takim ustawieniu nie pokazuje się aby coś dodatkowego z zakresu urządzeń audio? Odnośnik do komentarza
dopshot Opublikowano 11 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2011 TAK. za 1 razem odinstalowałem tylko jedna pozycję (nie wiedziałem że coś może sie ukrywać), aktualnie kazałem pokazać wszystkie pliki odinstalowałem 2 pozycje uruchomiłem ponownie, dokonała sie instalacja - uruchomiłem ponownie i nie działa. Postaram sie pokazać wszystko, może jakiś nowy pomysł przyjdzie do głowy edit. zainstalowałem właśnie sterowniki ze strony realtek'a i wygląda to tak (zdjęcie 2) w porównaniu z tym co jest wyżej pojawiły się jedynie zielone "ptaszki" przy niektórych plikach sterownika. nie wiem czy to ma znaczenie skoro dźwięku brak edit 2 "rozwiązywanie problemów" podpowiedziało mi by zainstalować sprzęt (zdjęcie 3), zainstalowałem uruchomiłem ponownie i dźwięku dalej brak. jedynie w MU mam więcej pozycji. Zaznaczając realtek ... w miejscu lokalizacja jest "lokalizacja 65535 (magistrali....)" a "nowe" urządzenie w zakładce sprzęt w miejscu Lokalizacja widnieje "nieznane" (zdj 4) ma to znaczenie ? Odnośnik do komentarza
Rekomendowane odpowiedzi