CyberTarcza Orange - botnet, Ransomware.Locky

[Msh]

Witam,

 

Wczoraj po otworzeniu przeglądarki, pojawił się komunikat od mojego dostawcy internetu (Orange), o tym, że zostałem poddany kwarantannie, ponieważ wykryto w mojej domowej sieci dwa zagrożenia:

 

"Zostałeś podłączony/a do botnetu!
Ransomware.Locky"

 

Spotykam się z czymś takim po raz pierwszy, nie wiem z jakimi zagrożeniami się to wiąże. Do tej nie widziałem żadnych oznak ich działania, poza wyłączonym Windows Defenderem, który na co dzień jest cały czas włączony. Jednak nie wiem czy to sprawka złośliwego oprogramowania czy humor systemu.

 

Po pierwsze przeskanowałem system Windows Defenderem (bez śladu infekcji), a następnie gruntownie bootem z utworzonej płyty ESET SysRescue, który wykrył i usunął 2 pliki oraz kilka plików potencjalnie niebezpiecznych, gdzie nie podjął żadnej akcji.

 

Następnie trafiłem na Wasze forum. Wykonałem skany wg zaleceń, przy czym nie byłem w stanie wyłączyć antywirusa (ESET NOD32 Antivirus 7.0.317.4) ani poprzez opcje w programie (wywoływane okno ustawień nie pokazuje się), menedżerem zadań kończąc procesy egui.exe i ekrn.exe  (odmowa dostępu), wyłączając usługi (odnowa dostępu) czy też wykluczenie z autostartu (po odznaczeniu i zastosowaniu zmian, haczyk znów się pojawia). Dlatego GMERem wykonałem 2 skany, jeden w normalnym trybie systemu, drugi w awaryjnym. Sam antywirus nie ma aktualnych definicji, ale do tej pory robił swoje.

 

W sieci domowej jest pc (którego sprawę opisuję), laptop (jeszcze nieprzeskanowany) i tablet (nie wiem czy też jest podatny).

 

Proszę o pomoc i wskazówki, a za poświęcony czas z góry dziękuję.

 

Addition.txt FRST.txt gmer_awaryjny.txt gmer_norm.txt Shortcut.txt

[picasso]

W tym systemie brak oznak infekcji, do korekty byłby tylko drobne odpadkowe wpisy, ale nie ma to znaczenia i potem się tym zajmę. Dostarcz więc logi z laptopa:

 

W sieci domowej jest pc (którego sprawę opisuję), laptop (jeszcze nieprzeskanowany) i tablet (nie wiem czy też jest podatny).

 

Jeśli i na nim nie będzie oznak infekcji, problemem może być IP jakie obecnie jest przypisane (mogło być w użyciu wcześniej):

 

W obliczu braku jakichkolwiek śladów tego rodzaju infekcji komunikat może być związany z aktywnością infekcji ogólnie w sieci Orange. Skan Cybertarczy z tego co rozumiem nie skanuje konkretnie wybranego systemu lecz stawia diagnozę na podstawie IP. Orange przypisuje zmienne adresy IP, mogło być i tak że przydzielony Ci adres IP należał wcześniej do innego rzeczywiście zainfekowanego komputera. Można to przetestować wymuszając rozłączenie/reset urządzenia Orange, by przypisało inny adres IP.

[Msh]

Rozumiem, dzięki. Uzupełniam o logi z laptopa. Tam nie skanowałem wcześniej antywirusami, od razu przeszedłem do tworzenia logów. Wcześniej odinstalowałem Daemon Tools i sterowniki zgodnie z instrukcją oraz wyłączyłem antywirusa.

 

Addition.txt FRST.txt GMER.txt Shortcut.txt

[picasso]

I na tym komputerze brak oznak czynnej infekcji (tylko dwa szczątkowe wpisy po infekcjach z przeszłości). Czyli do wykonania tylko poboczne działania na obu kompach, polegające na usunięciu starych programów (m.in. zagrożenie infekcjami szyfrującymi dane) oraz odpadkowych wpisów:

 

 

PIERWSZY KOMPUTER:

 

1. Odinstaluj: Adobe Flash Player 10 ActiveX, Adobe Flash Player 22 NPAPI, Bonjour. Najnosze wersje linkowane w przyklejonym: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
S3 ctgame; system32\DRIVERS\ctgame.sys [X]
Task: {2647D7B3-32D6-4FA7-BAD3-754EC65189C1} - System32\Tasks\{D40F4B13-501F-4DFA-A101-6368470E0ED1} => pcalua.exe -a C:\Users\Meeshoo\Desktop\Flac_Plugin_for_WA2.exe -d C:\Users\Meeshoo\Desktop
Task: {4D807111-F329-4A31-BADF-B6F45A584BC4} - System32\Tasks\{DDC66981-B975-444F-9085-891C8E9998CD} => pcalua.exe -a G:\PROGRAMY\winamp\Flac_Plugin_for_WA2.exe -d G:\PROGRAMY\winamp
Task: {91FEF3B8-A03F-46C3-B25E-0D30A7A6687C} - System32\Tasks\{D75ED630-5766-458E-A772-1000348C368B} => pcalua.exe -a H:\Setup.exe -d H:\
Task: {C80EDF93-72DA-4E25-AF80-10D24BE1781A} - System32\Tasks\{972F8CDB-F11A-4BAF-B922-6496197C9FC5} => H:\Setup.exe
Task: {D6FC561D-36C8-4B75-8915-3536A52AC09F} - System32\Tasks\{A96136BF-D2A6-40DC-A39F-02A715FB1B01} => pcalua.exe -a E:\Programy\IDM\Downloads\Programs\Flac_Plugin_for_WA2.exe -d E:\Programy\IDM\Downloads\Programs
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Users\Meeshoo\AppData\Local\Microsoft\Windows\GameExplorer\{C617706A-73D3-4017-9AD7-83B104AF1DFC}
C:\Users\Meeshoo\AppData\Local\Microsoft\Windows\GameExplorer\{EA379722-7B4B-4C01-AD84-C965AF26FDB4}
C:\Users\Meeshoo\Desktop\Gry\CoJ_DX10.lnk
C:\Users\Meeshoo\Desktop\Gry\Singularity™.lnk
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

 

 

 

DRUGI KOMPUTER:

 

1. Odinstaluj: Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Reader 8.1.3, AutoUpdate, DivX Codec, DivX Player, Gadu-Gadu 7.7, Java 6 Update 13, LiveUpdate (Symantec Corporation), LiveVDO plugin 1.3 (niepożądany program), Norton Internet Security, Nowe Gadu-Gadu, Pando Media Booster, Real Alternative 2.0.2, Skype™ 3.8. Symantec szokująco stary (komponenty z zakresu czasowego 2007-2009), to zerowa ochrona. Należy także zaktualizować IE i OpenOffice.org.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S3 MREMPR5; \??\C:\PROGRA~1\COMMON~1\Motive\MREMPR5.SYS [X]
S3 MRENDIS5; \??\C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS [X]
HKLM\...\Policies\Explorer\Run: [] => 1
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== UWAGA
HKU\S-1-5-18\...\RunOnce: [] => [X]
HKU\S-1-5-19\...\RunOnce: [] => [X]
HKU\S-1-5-20\...\RunOnce: [] => [X]
MSCONFIG\startupfolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk => C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
MSCONFIG\startupfolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk => C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup
MSCONFIG\startupfolder: C:^Documents and Settings^Iza^Menu Start^Programy^Autostart^OpenOffice.org 3.1.lnk => C:\WINDOWS\pss\OpenOffice.org 3.1.lnkStartup
MSCONFIG\startupreg: Adobe Reader Speed Launcher => "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
MSCONFIG\startupreg: cdoosoft => C:\DOCUME~1\Czesiek\USTAWI~1\Temp\herss.exe
MSCONFIG\startupreg: DAEMON Tools Pro Agent => "D:\Programy\DAEMON Tools Pro\DTProAgent.exe"
MSCONFIG\startupreg: Onet.pl AutoUpdate => "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexe
MSCONFIG\startupreg: osCheck => "c:\Program Files\Norton Internet Security\osCheck.exe"
MSCONFIG\startupreg: Pando Media Booster => C:\Program Files\Pando Networks\Media Booster\PMB.exe
MSCONFIG\startupreg: Skype => "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files\Java\jre6\bin\jusched.exe"
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8D7D2171-C132-4BE2-A89B-841F1735E4F9}
C:\Documents and Settings\All Users\Menu Start\Programy\ReadMe File.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Serious Sam - The Second Encounter\ReadMe File.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Serious Sam - The Second Encounter\Seriously Warped Deathmatch v3.0\ReadMe File.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Seriously Warped Deathmatch v3.0
C:\Documents and Settings\Iza\Pulpit\Programy\Skrót do SeriousSam.exe.lnk
C:\Documents and Settings\Iza\Pulpit\Programy\Last.fm.lnk
C:\Documents and Settings\Iza\Pulpit\Programy\Malwarebytes Anti-Malware.lnk
C:\Documents and Settings\Czesiek\Dane aplikacji\skype.ini
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\StartSearch plugin
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Uruchom w ten sam sposób jak przy poprzednim komputerze i przedstaw wynikowy fixlog.txt.

 

3. W systemie są dwa konta. Potrzebne jeszcze logi z konta Iza (główny + Addtion, bez Shortcut).

 

[Msh]

1. Na PC wykonane bez problemów, wynik w Fixlog_PC.

 

2. Na laptopie wykasowałem wyznaczone programy, za wyjątkiem AutoUpdate, którego nie było na liście programów, a który znalazłem ręcznie w C:\Program Files\Common Files\Onet.pl. Póki co zostawiłem, bo nie wiem czy wystarczy machnąć cały folder shift+del czy też są na to lepsze sposoby. Antywirus chyba rzeczywiście był w tym stanie od czasu zakończenia wersji testowej, 30 dni od zakupu, lata temu. Na ten moment nie instalowałem niczego nowego żeby nie zakłócać prac. Po zakończeniu działań trzeba się będzie skusić na instalację i zakup licencji dla obu sprzętów.

 

IE oraz OO uaktualnione. Naprawa wykonana, wynik w Fixlog_LAP.

 

Na końcu przeskanowałem drugie konto, załączam FRST oraz Addition.

 

EDIT:

3. CERT Orange nie wykrywa już zagrożeń, czy to przez podjęte działania, czy zmienione IP (sam ręcznie nie resetowałem routera):
"Wszystko w porządku!

Zweryfikowaliśmy Twój adres IP
Nie wykryliśmy zagrożeń w urządzeniach korzystających obecnie z Twojej domowej sieci."

 

Fixlog_LAP.txt Fixlog_PC.txt FRST.txt Addition.txt

[picasso]

Cytat

3. CERT Orange nie wykrywa już zagrożeń, czy to przez podjęte działania, czy zmienione IP (sam ręcznie nie resetowałem routera)

 

W podanych działaniach nie było żadnej operacji, która mogłaby wpłynąć na zanik tego komunikatu. Nasuwa się raczej zmiana w IP.

 

 

 

PC:

 

Usuń ręcznie pobrany FRST i jego logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

 

LAPTOP:

 

Cytat

Na laptopie wykasowałem wyznaczone programy, za wyjątkiem AutoUpdate, którego nie było na liście programów, a który znalazłem ręcznie w C:\Program Files\Common Files\Onet.pl.

 

Rzeczywiście, nie widzę tego już na liście zainstalowanych. Na wszelki wypadek dołączę jednak klucz deinstalacji oraz ten folder.

 

 

1. Drobny skrypt na śmieci odpadkowe po deinstalacjach. Operacja z poziomu konta Iza. Otwórz Notatnik i wklej w nim:

 

URLSearchHook: HKU\S-1-5-21-966588509-143319652-2419219573-1006 - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - Brak pliku
BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\Iza\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll [2009-07-27] (GG Network S.A.)
Toolbar: HKLM - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
Toolbar: HKU\S-1-5-21-966588509-143319652-2419219573-1006 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Iza\Pulpit\BESTPL~1.EXE => Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{31261F21-2B16-45EE-BEAB-07C4CFA18B65}\InprocServer32 -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku]
FF Plugin HKU\S-1-5-21-966588509-143319652-2419219573-1006: pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC}
S4 sptd; System32\Drivers\sptd.sys [X]
S3 SymIM; system32\DRIVERS\SymIM.sys [X]
S3 SymIMMP; system32\DRIVERS\SymIM.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\LuUninstall.LiveUpdate
C:\Documents and Settings\Iza\Dane aplikacji\Nowe Gadu-Gadu
C:\Documents and Settings\Iza\Ustawienia lokalne\Dane aplikacji\Install.exe
C:\Program Files\Common Files\Onet.pl
CMD: netsh firewall reset

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Zaprezentuj wynikowy fixlog.txt.

 

2. Na wszelki wypadek przełącz się z powrotem na konto Czesiek i dostarcz FRST.txt + Addition.txt.

 

[Msh]

PC:

 

Zrobione. Załączam log DelFix.

 

 

LAPTOP:

 

1. Podczas wykonywania naprawy programem FRST na koncie Iza wyskoczył błąd, że jest problem z aplikacją i że zostanie zamknięta. Za drugim razem poszło bez problemów, ale zaznaczam, że coś takiego miało miejsce. Załączam Fixlog.

 

2. Po przejściu na drugie konto, na starcie wyświetliły się 2 błędy:

- Błąd aplikacji Synaptics TouchPad Enhacements

- ACMON Error - Failed to prepare critical file! Chameleon Engine out of service!

 

Wykonałem skany, załączam logi FRST oraz Addition.

 

3. Zauważyłem, że komunikaty te pojawiają się teraz od razu po zalogowaniu, na obu kontach.

 

DelFix.txt Fixlog.txt FRST.txt Addition.txt

[picasso]

Cytat

2. Po przejściu na drugie konto, na starcie wyświetliły się 2 błędy:

- Błąd aplikacji Synaptics TouchPad Enhacements

- ACMON Error - Failed to prepare critical file! Chameleon Engine out of service!

(...)

3. Zauważyłem, że komunikaty te pojawiają się teraz od razu po zalogowaniu, na obu kontach.

 

Nie wiem skąd to się wzięło. Nie były tu prowadzone żadne operacje związane z tymi aplikacjami, w Fix brak powiązanych wpisów. Zauważam też minimalną różnicę między poprzednimi i obecnymi logami - wpisy ShellIconOverlayIdentifiers od ASUS Data Security Manager są obecnie wybrakowane. Nie usuwałeś aby czegoś ręcznie?

 

Błędy powodują poniższe wpisy Run, więc zacznij od reinstalacji powiązanych programów:

 

ASUS Splendid Video Enhancement Technology (HKLM\...\{C0FC1C14-4824-4A73-87A6-9E888C9C3102}) (Version: 1.02.16 - ASUSTeK)
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 9.0.2.0 - Synaptics)

HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [815104 2006-10-15] (Synaptics, Inc.)
HKLM\...\Run: [ACMON] => C:\Program Files\ASUS\Splendid\ACMON.exe [851968 2007-06-26] (ATK)

 

A potem na koncie Czesiek byłby do wykonania drobny skrypt fixlist.txt o treści:

 

ShellIconOverlayIdentifiers: [ADSMOverlayIcon] -> {A825576B-0042-4F0F-8FB0-93CE0F054E69} => Brak pliku
ShellIconOverlayIdentifiers: [ADSMOverlayIcon1] -> {A8D448F4-0431-45AC-9F5E-E1B434AB2249} => Brak pliku
Toolbar: HKU\S-1-5-21-966588509-143319652-2419219573-1007 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1007_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1007_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1007_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
C:\Documents and Settings\Czesiek\Ustawienia lokalne\Dane aplikacji\Install.exe

 

[Msh]

Absolutnie nie ruszałem niczego poza zaleconymi działaniami, nawet bezczelnie zamknąłem laptopa przed rodzicami, żeby nie mieli okazji niczego "poprawić" do czasu rozwiązania sprawy. Jedyne co odbiegało od normy, to wysypanie się FRST poprzednim razem, o czym wspominałem w poprzednim poście.

 

Sam proces reinstalacji poszedł dość opornie:

- Przy usuwaniu ASUS Splendid Video Enhancement Technology wyskoczył błąd, że plik nie wyrejestrował się

(C:\Program Files\ASUS\Splendid\RGBTran.ax) z powodu odmowy dostępu

- Sterowniki Synaptics usunęły się bez problemów, ale za to odbiły sobie przy ponownej instalacji (driver ściągnięty ze strony producenta) paroma błędami, m.in. "Nie znaleziono punktu wejścia procedury InitializeCriticalSectionEx w bibliotece KERNEL32.dll".

- Po ponownym uruchomieniu - migawka 0,1s BSOD podczas ładowania systemu i niemożność uruchomienia systemu ani w trybie normalnym ani awaryjnym. Pomogła dopiero opcja uruchomienia z ostatnimi działającymi ustawieniami.

 

Od tego momentu żadnych błędów na żadnym z kont.

Przeprowadziłem zaleconą naprawę, dołączam Fixlog.

 

Fixlog.txt

[picasso]

Jak mówię, nie mam pojęcia co tu się stało. Natomiast jeśli chodzi o błąd "Nie znaleziono punktu wejścia procedury InitializeCriticalSectionEx w bibliotece KERNEL32.dll", to on wskazuje że instalator był nowszy niż może obsłużyć go XP (albo brak jakiś łat w XP, albo nieoficjalny brak kompatybilności z XP).

 

Fix wykonany. Z obu kont ręcznie pousuwaj FRST i jego logi, następnie na dowolnym końcie zapuść DelFix i wyczyść foldery Przywracania systemu.

 

Do wglądu lista programów zabezpieczających, ale nanieś poprawkę na aplikacje które już nie obsługują XP: KLIK.

[Msh]

Rozumiem, najważniejsze, że sprawa wyjaśniona i załatwiona.

 

Podsumowując, wygląda na to, że problem leżał po stronie Orange i przypisanego przez nich adresu IP.

 

Niemniej jednak dziękuję bardzo za zaangażowanie i pomoc w łataniu i odświeżaniu systemów na obu sprzętach!