Skocz do zawartości

Problem z dźwiękiem przez infekcje


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło obowiązkowego loga z GMER pod kątem rootkitów więc prosze go uzupełnić. W razie problemów masz tam drugie narzędzie RootRepeal.

 

W logach infekcja masowo podstawiająca sterowniki czego dowodem sa te obiekty w logu:

 

[2011-02-02 08:38:55 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys.bak

[2011-02-02 08:38:55 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys

[2011-02-02 08:38:55 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\dllcache\lbrtfdc.sys

[2011-02-02 08:38:49 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\Changer.sys.bak

[2011-02-02 08:38:49 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\changer.sys

[2011-02-02 08:38:49 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\changer.sys

[2011-02-02 08:38:41 | 000,008,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\i2omgmt.sys

 

Takich plików na XP być nie powinno, domyślnie mają być tylko bezplikowe usługi o tych samych nazwach. To pewnie też jest powód problemów z dźwiękiem.

 

 

1. Start >>> uruchom >>> devmgmt.msc i na liście urządzeń odnajdź pozycję z wykrzyknikiem lub pytajnikiem. Jeśli takie są z prawokliku odinstaluj pozycję i wykonaj restart komputera.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\WINDOWS\System32\drivers\lbrtfdc.sys.bak
C:\WINDOWS\System32\drivers\lbrtfdc.sys
C:\WINDOWS\System32\dllcache\lbrtfdc.sys
C:\WINDOWS\System32\drivers\Changer.sys.bak
C:\WINDOWS\System32\drivers\changer.sys
C:\WINDOWS\System32\dllcache\changer.sys
C:\WINDOWS\System32\dllcache\i2omgmt.sys
 
:OTL
IE - HKU\S-1-5-21-1957994488-1085031214-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="
[2010-12-23 08:50:16 | 000,002,559 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\9ujr15il.default\searchplugins\askcom.xml
[2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\9ujr15il.default\searchplugins\BearShareWebSearch.xml
[2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found.
O2 - BHO: (no name) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - No CLSID value found.
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1957994488-1085031214-725345543-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1957994488-1085031214-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll) -  File not found
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\DataMngr\IEBHO.dll) -  File not found
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Moduł wstępnego ładowania interfejsu Browseui - Reg Error: Key error. File not found
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demon buforu kategorii składników - Reg Error: Key error. File not found
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Z panelu sterowania > dodaj/usuń programy i odinstaluj zbędne pozycje - Google Toolbar / Skype Toolbars

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza

Mimo iz nie posiadam żadnych wirtualnych napedów to program Gmer wyświetlał tylko niebieski brzydki ekran i reset, nie wiem co to są za programy które wchodzą w reakcję z Gmer'em, RootReap nie robił tylu problemów wszystko poszło zgodnie z zaleceniem.

 

Po wpisaniu własnego skryptu doszło do uruchomienia PC ale nie wiem czy tak być powinno system zawiesił sie na "zamykanie systemu window" - tak myślę że sie zawiesił bo zamykanie trwało 40 min i nic z tego nie wyszło. Ostatecznie użyty został Reset.

 

Jestem laikiem i paru zwrotów nie rozumiem ale nie będę o to pytał :) Google będzie pomocne.

 

Dzięki za wsparcie.

 

aaa i raport z OTLa jest 3 w kolejności wykonany po odinstalowaniu gogle tolbar (zapomniałem o tym puunkcie) wcześniejszy raport z otl nie moze zostać dołożony gdyż nie mam uprawnień do dodawania tego typu plików ? ale od góry jest tekst:

 

All processes killed

========== FILES ==========

C:\WINDOWS\System32\drivers\lbrtfdc.sys.bak moved successfully.

C:\WINDOWS\System32\drivers\lbrtfdc.sys moved successfully.

C:\WINDOWS\System32\dllcache\lbrtfdc.sys moved successfully.

C:\WINDOWS\System32\drivers\Changer.sys.bak moved successfully.

C:\WINDOWS\System32\drivers\changer.sys moved successfully.

C:\WINDOWS\System32\dllcache\changer.sys moved successfully.

C:\WINDOWS\System32\dllcache\i2omgmt.sys moved successfully.

========== OTL ==========

RootRepeal report 02-05-11 (23-59-14).txt

OTL.Txt

Odnośnik do komentarza
wcześniejszy raport z otl nie moze zostać dołożony gdyż nie mam uprawnień do dodawania tego typu plików ?

 

Raport ma rozszerzenie .LOG, a my tu na forum dopuszczamy .TXT więc wystarczyło tylko zmienić rozszerzenie.

 

Skrypt pomyślnie wykonany. Wprawdzie niektóre pliki się odtworzyły, ale to prawdopodobnie system je przywrócił i to już tak się zostawia. Przejdźmy do czynności końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Wyzeruj stan przywracania systemu: KLIK

 

Teraz pytanie do ciebie czy problem z dźwiękiem nadal występuje?

 

 

Odnośnik do komentarza

Niestety było by fajnie gdyby to były sterowniki.

 

Przy instalacji wybrałem by mimo wszystko zainstalować, mam ściągane sterowniki do plyty głownej i jakieś sterowniki do AUDIO, czy błąd który zostął naprawiony mógł blokować poprawne działanie sterowników ?

 

Próbowałem instalować najnowsze sterowniki i nieco starsze oba bez rezultatu.

 

W zał. plik OTL może ktoś tam jeszcze coś wypatrzy

post-1504-0-21747800-1297011156_thumb.jpg

OTL.txt

Odnośnik do komentarza

Ta szczególna infekcja wrzuca masowo podrobione pliki o nazwach zgodnych ze sterownikami Windows i tworzą się konflikty w Menedżerze. Ślady pośrednie tej infekcji tu są, w postaci uzupełnionych sterowników typu changer.sys. Normalnie tych na XP nie ma (są tylko puste usługi), infekcja wstawia fałszywy plik changer.sys, a Ochrona plików Windows reaguje i z cache sterowników roluje. Dlatego masz te pliki, ale już z sygnaturą właściwego producenta. Pokłosiem infekcji są masowo poszkodowane urządzenia relatatywne do kontrolerów dźwiękowych. Zwykle pomaga proste usunięcie via Menedżer urządzeń. Tu u Ciebie po tej operacji został jeszcze jeden reinstalujący się niepoprawnie obiekt. W związku z tym:

 

 

1. Mówiłeś "nod32 odszukał kilka rożnych trojanów które zostały usunięte" = proszę pokaż dokładny raport z NOD na ten temat.

 

2. W Menedżerze urządzeń pobierz Właściwości tej zdefektowanej pozycji. W karcie Sterownik wyciągnij detale do jakiego pliku sterownika to się odnosi. W karcie Szczegóły z rozwijalnej listy pobierz Service oraz Device ID / Hardware ID i przeklej tu.

 

3. Zaprezentuj wykaz wszystkich wystąpień pliku RtkHDAud.sys. Uruchom OTL, ustaw wszystkie sekcji na Brak / Żadne i w sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start
RtkHDAud.sys
/md5stop

Klik w Skanuj (a nie Wykonaj skrypt). Przedstaw wyniki.

 

 

 

.

Odnośnik do komentarza

1. Wykrycie przez noda było pokazane przez "białe dymki" z informacja że coś zostało znalezione. Jeżeli to może pomóc to wysyłam to co zostało rzucone do kwarantanny i z opcji log w nodzie (nie wiem jak zrobić lub pokazać raport... :( )

http://img232.imageshack.us/g/logfilesnod.jpg/

 

2. Tutaj link o Detale (mam nadzieje ze dobrze zrozumiałem o co chodzi.)

http://img204.imageshack.us/g/szczegolysterownika4.jpg/ są 4 części ponieważ ta lista jest dosyć długa.

 

3. w zał...

OTL.Txt

Odnośnik do komentarza
Jeżeli to może pomóc to wysyłam to co zostało rzucone do kwarantanny i z opcji log w nodzie (nie wiem jak zrobić lub pokazać raport... :( )

 

Zaznaczenie wyników w oknie i opcja Copy? Obrazek numer dwa i trzy potwierdzają tylko to co wiemy, czyli typ infekcji tworzącej falsyfikaty sterowników. Nie ma tu jednak żadnego odnośnika do sterownika Realtek jako takiego. Wyszukiwanie tego sterownika w systemie zwraca wyniki, które nie budzą zastrzeżeń, tzn. jest to sygnowany plik Realtek.

 

Tutaj link o Detale (mam nadzieje ze dobrze zrozumiałem o co chodzi.)

 

Dane niekompletne. mówiłam:

 

W karcie Szczegóły z rozwijalnej listy pobierz Service oraz Device ID / Hardware ID i przeklej tu.

 

1. Jaki błąd figuruje dla tego urządzenia - przepisz komunikat.

 

2. Nasuwa się pytanie czy w aktualnej sytuacji (po usunięciu innych wadliwych urządzeń):

- ponowienie opcji deinstalacji urządzenia + restart rekonstruuje prawidłowo urządzenie?

- w oknie właściwości tego urządzenia uruchomienie opcji Aktualizuj sterownik ma wymierne skutki?

 

 

.

Odnośnik do komentarza

W zal brakujące pliki

 

odnośnie punktu 2.

oba rozwiązania nie dają wymaganego wyniku.

"- ponowienie opcji deinstalacji urządzenia + restart rekonstruuje prawidłowo urządzenie?"

nie.

 

"- w oknie właściwości tego urządzenia uruchomienie opcji Aktualizuj sterownik ma wymierne skutki? "

podczas aktualizacji sterowników z CD która mam do płyty głownej wyskakuje komunikat (zał. błąd instalacji), po wybraniu opcji "mimo to kontynuuj" podczas isntalacji MU powieksza sie o kolejne zółte "znaczki"

post-1504-0-20355200-1297335294_thumb.jpg

post-1504-0-44771100-1297335308_thumb.jpg

nod info.txt

post-1504-0-16918700-1297335424_thumb.jpg

post-1504-0-22881900-1297360212_thumb.jpg

Odnośnik do komentarza

Kod 19 "Nie można uruchomić tego urządzenia sprzętowego, ponieważ jego dane o konfiguracji (w rejestrze) są niekompletne lub uszkodzone" - reinstalacja jednak nie pomaga a na dodatek wszystkie urządzenia tej samej klasy pokazują wykrzykniki. To sugeruje filtr sprzętowy nałożony na całą klasę urządzeń (lub klasa jako taka ma niepełne dane). Pokaż mi do wglądu cały klucz klasy kontrolerów dźwięku, wideo i gier.

 

Start > Uruchom > regedit i wyeksportuj z prawokliku do pliku REG ten cały klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}

 

Otwórz zawartość pliku REG w Notatniku i przeklej tu całość.

Odnośnik do komentarza

Jest tu podejrzany - figuruje tu filtr sprzętowy dla całej klasy dźwiękowej:

 

Nazwa klucza:      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}

 

Wartość 6

Nazwa: LowerFilters

Typ: REG_MULTI_SZ

Dane: LVUSBSta

Filtrem jest sterownik Logitech. Problem opisany także tu: KLIK.

 

1. W podanym wyżej kluczu skasuj wartość LowerFilters i zresetuj system. Po tej operacji (o ile filtr nie wróci) wszystkie urządzenia klasy kontrolerów dźwięku, wideo i gier powinny zostać ożywione.

 

2. Wyszukaj czy nie ma większej ilości wystąpień tego szczególnego filtra. Uruchom OTL, ustaw wszystkie opcje na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

hklm\system\currentcontrolset|LVUSBSta /RS

Klik w Skanuj i przedstaw wyniki.

 

 

 

.

Odnośnik do komentarza

w MU nie mam już nic żółtego dodatkowo obok zegarka pojawiła się ikona "dźwięku" której nie było ale problem z winampem dalej się pojawia (błąd 88.....)

 

 

jeżeli chodzi o 2 punkt to OTL zawiesza się za każdym razem na jednym pliku (widocznym w screenie). W trybie awaryjnym nie było tego problemu lecz OTL nie pokazał mi żadnego pliku po prostu skończył skanowanie i się wył. Mogę ustawić coś by otrzymać plik który jest potrzebny ?

post-1504-0-92914000-1297428796_thumb.jpg

Odnośnik do komentarza
ale problem z winampem dalej się pojawia (błąd 88.....)

 

Pytanie: czy w kompie teraz działają dźwięki poza WinAmpem? Jeśli tak, problemem jest w tym momencie konfiguracja WinAmp, czyli należy spojrzeć do preferencji odtwarzacza na ustawienia Direct sound output co jest tam ustawione i wybrać właściwe urządzenie.

 

 

W trybie awaryjnym nie było tego problemu lecz OTL nie pokazał mi żadnego pliku po prostu skończył skanowanie i się wył.

 

Jeśli to znaczy, że OTL w awaryjnym bez trudu skanuje na podanym warunku, ale nie zwraca żadnego wyniku, to przecież to oznacza, że nie ma w rejestrze już żadnych odnośników do filtra Logitecha. Albo ja nie rozumiem co do mnie mówisz.

 

 

.

Odnośnik do komentarza

Podczas instalacji z płyty wyskoczyła niespodzianka (zdj 1), raczej wiedzy nie mam ale chyba chce by mu pokazać ścieżkę do pliku - wybrałem D:\Audio\Realtek\HD_Audio\WDM (CD dodadny do płyty głównej) no i wyskoczył komunikat (zdj 2) klikam "mimo to kontynuuj." po chwili wyskoczył jeszcze jeden komunikat jak na zdj1 również wybrałem ścieżkę z płyty tym razem nie było błędu zgodności.

 

Zakończono. Obok zegarka komunikat o zainstalowaniu nowego sprzętu i jego gotowości do użycia. W MU pojawiła się ikona która odinstalowałem.

W panelu sterowania nic się nie zmieniło.

 

Może próbować z innymi sterownikami ?

post-1504-0-36329500-1297438056_thumb.jpg

Odnośnik do komentarza

1. Czy Twoje działania ograniczyły się tylko do pozycji Realtek? Nie było tam przypadkiem jeszcze jednej pozycji dającej się odinstalować? Mam na myśli (patrząc na ostatni z dostarczonych obrazków pokazujących wejścia w gałęzi kontrolerów) "Urządzenie audio Microsoft Kernel System". Poza tym, czy restartowałeś system po operacjach?

 

2. W Menedżerze urządzeń z menu Widok włącz pokazywanie ukrytych urządzeń. Czy na takim ustawieniu nie pokazuje się aby coś dodatkowego z zakresu urządzeń audio?

Odnośnik do komentarza

TAK. za 1 razem odinstalowałem tylko jedna pozycję (nie wiedziałem że coś może sie ukrywać), aktualnie kazałem pokazać wszystkie pliki odinstalowałem 2 pozycje uruchomiłem ponownie, dokonała sie instalacja - uruchomiłem ponownie i nie działa. Postaram sie pokazać wszystko, może jakiś nowy pomysł przyjdzie do głowy :(

 

 

edit.

zainstalowałem właśnie sterowniki ze strony realtek'a i wygląda to tak (zdjęcie 2) w porównaniu z tym co jest wyżej pojawiły się jedynie zielone "ptaszki" przy niektórych plikach sterownika. nie wiem czy to ma znaczenie skoro dźwięku brak

 

edit 2

"rozwiązywanie problemów" podpowiedziało mi by zainstalować sprzęt (zdjęcie 3), zainstalowałem uruchomiłem ponownie i dźwięku dalej brak. jedynie w MU mam więcej pozycji.

Zaznaczając realtek ... w miejscu lokalizacja jest "lokalizacja 65535 (magistrali....)" a "nowe" urządzenie w zakładce sprzęt w miejscu Lokalizacja widnieje "nieznane" (zdj 4) ma to znaczenie ?

post-1504-0-23964400-1297444396_thumb.jpg

post-1504-0-60650300-1297464043_thumb.jpg

post-1504-0-16757200-1297464530_thumb.jpg

post-1504-0-12677400-1297464757_thumb.jpg

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...