Skocz do zawartości
Zakładanie tematu: pomocne raporty i informacje
Nadchodzące zmiany w logowaniu

Restarty laptopa

marcos777

Przez marcos777
w Windows Vista

Rekomendowane odpowiedzi

marcos777

marcos777

Opublikowano
Opublikowano

Witam,

proszę o profilaktyczne sprawdzenie logów. Laptop Acer - Vista HE.

Laptop czasem (raz na kilka dni) samoczynnie się restartuje.

GMER po chwili się gasi -> "Program GMER przestał działać".

W RootRepeal widać jakąś chińszczyznę.

 

 

Ad-Remover

 

USB_fix

 

OTL. extras

 

OTL.txt

 

RootRepeal_raport

 

Everest_raport

 

aswMBR (na czerwono jest ...997 i 980 !!!)

 

TDSSKiller

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Brak podstaw do szukania infekcji (poza oczywistym crackiem Office), temat wstępnie jedzie do działu Vista. I nieco nabroiłeś (chyba nie przeczytałeś uważnie opisu TDSSKiller):

 

DRV - [2011-02-20 20:23:36 | 000,428,088 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

+

 

2011/02/26 23:05:37.0654 1996	Suspicious file (NoAccess): C:\Windows\System32\Drivers\sptd.sys. md5: ca9a2690a2b53662565654b48f7ae68f
2011/02/26 23:05:37.0670 1996	sptd - detected Locked file (1)
 
2011/02/26 23:05:44.0585 0744	Detected object count: 1
2011/02/26 23:09:42.0059 0744	HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot
2011/02/26 23:09:42.0073 0744	HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted after reboot
2011/02/26 23:09:42.0128 0744	HKLM\SYSTEM\ControlSet004\services\sptd - will be deleted after reboot
2011/02/26 23:09:42.0159 0744	C:\Windows\System32\Drivers\sptd.sys - will be deleted after reboot
2011/02/26 23:09:42.0160 0744	Locked file(sptd) - User select action: Delete

Tego się w taki sposób nie usuwa, wynik całkowicie do zignorowania w TDSSKiller. Sterownik SPTD likwiduje się przez narzędzie dedykowane SPTDinst, opisane w ogłoszeniu działu. O ile ma być usuwany = czyli nie ma żadnego programu który z niego korzysta. Kolejność działań też istotna: jeśli jest program używający SPTD, w pierwszej kolejności należy usunąć ten program a nie SPTD. Typowy objaw przy odwrotności: Alcohol i Daemon nie chcą się odinstalować wyrzucając błąd o "naruszeniu instalacji" i nie pójdą dalej, dopóki nie zostanie przywrócony SPTD.

 

Uwaga: przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie główne ogłoszenie działu: Oprogramowanie emulujące napędy.

 

tdsskillersptd.png

 

I to zapewne działalność SPTD jest notowana jako UNKNOWN i na czerwono w aswMBR. Sterownik wykazuje aktywność para-rootkit, bo taka jest jego natura. Również, sterownik SPTD może skutecznie zapobiegać prawidłowej pracy GMER. Dlatego jest tak wielki nacisk w ogłoszeniu działu co należy zrobić przed próbą generowania logów ...

 

 

Laptop czasem (raz na kilka dni) samoczynnie się restartuje.

 

Do wykonania punkt nr 5 z ogłoszenia: KLIK.

 

 

PS. Jak rozumiem, to ten sam komputer, który analizowaliśmy w sekcji Serwis (KLIK). Wykonaj jeszcze zalecone usuwanie pozycji ExterminateIt + AVG 2011. Nadal bardzo kiepskie odczyty z wolnego miejsca:

 

Drive C: | 52,14 Gb Total Space | 0,39 Gb Free Space | 0,75% Space Free | Partition Type: NTFS

Musisz coś z tym zrobić. Tak mało wolnego prowadzi wprost do wieszania się i powolnej pracy systemu, nie ma też miejsca na kopie cieniowe.

 

 

 

.

Odnośnik do komentarza
marcos777

marcos777

Opublikowano
  • Autor
Opublikowano
sterownik SPTD może skutecznie zapobiegać prawidłowej pracy GMER. Dlatego jest tak wielki nacisk w ogłoszeniu działu co należy zrobić przed próbą generowania logów ...Tego się w taki sposób nie usuwa, wynik całkowicie do zignorowania w TDSSKiller. Sterownik SPTD likwiduje się przez narzędzie dedykowane SPTDinst,

 

Ponieważ chciałem zrobić raport GMER, a znałem te zalecenia i je wykonałem za pomocą SPTDinst, Defogger, ale GMER dalej się wieszał, więc jakj TDSSKiller go znalazł i zaproponował kasację, to skorzystałem. Teraz na próbę zrobiłem Defogger i znów mam aktywną opcję Disable, więc on dalej jest w systemie? Nie potrzebuję tej emulacji napędów w ogóle.

 

Poniżej Twój cytat z mojego starego wątku:

 

 

 

1. Ostatnie mikro komentarze do OTL: można usunąć jeszcze te drobne obiekty zakreślone poniżej (usługi sterowników np. programem Autoruns), w spisie zainstalowanych programów nadal widzę wątpliwy Exterminate It! (bez żalu wyrzucać - no chyba że to jakiś odpadek post-deinstalacyjny) + zauważyłam też wejście AVG 2011 a nic tu nie wskazuje na pobyt tego programu na dysku (usuń to) oraz Java jest już jeden numerek wyżej.

 

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rootrepeal.sys -- (rootrepeal)

DRV - [2011-02-07 22:55:11 | 000,035,904 | ---- | M] (VirusBlokAda Ltd.) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\v89bkz0g.sys -- (v89bkz0g)

 

 

[2011-01-17 18:17:43 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

[2010-11-14 17:39:19 | 000,002,432 | ---- | C] () -- C:\Users\user\AppData\Local\TempEp5144.html

[2010-11-14 17:39:19 | 000,002,089 | ---- | C] () -- C:\Users\user\AppData\Local\TempOq5144.html

[2010-03-22 21:02:22 | 000,001,527 | ---- | C] () -- C:\Windows\System32\sk_bho.ini

O32 - AutoRun File - [2011-01-23 12:56:30 | 000,000,000 | ---D | M] - E:\AUTORUN_.INF -- [ NTFS ]

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{739F4CE3-6443-40AB-ACB3-2CF6FD3702AE}" = AVG 2011

 

 

 

Exterminate It odinstalowałem i pousuwałem wszystko inne, ale nie wiem czy z tym coś robić:

 

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rootrepeal.sys -- (rootrepeal)

 

?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skup się na zwalnianiu miejsca na dysku. Poza tym, nic nie wspominasz o wykonaniu punktu 5 z ogłoszenia.

 

 

Ponieważ chciałem zrobić raport GMER, a znałem te zalecenia i je wykonałem za pomocą SPTDinst, Defogger, ale GMER dalej się wieszał, więc jakj TDSSKiller go znalazł i zaproponował kasację, to skorzystałem. Teraz na próbę zrobiłem Defogger i znów mam aktywną opcję Disable, więc on dalej jest w systemie? Nie potrzebuję tej emulacji napędów w ogóle.

 

Ku przestrodze: był tu użytkownik, który potraktował czynny SPTD TDSSKillerem, a po restarcie system padł, aczkolwiek u niego były jeszcze okoliczności dodatkowe (inne rootkity). Wracając do obecności SPTD w Twoim systemie: w OTL widzę go w stanie czynnym. Po użyciu SPTDinst i opcji usuwania nie jest możliwe, by ten sterownik się sam odnowił. Wniosek się nasuwa taki, że coś reinstaluje / przywraca ten sterownik u Ciebie. Wykonaj raz jeszcze: SPTDinst + usuwanie klucza sterownika z rejestru.

 

 

Pousuwałem wszystko, ale nie wiem czy z tym coś robić

 

Pierwsza pozycja wygląda w OTL całkiem inaczej, SPTD jak mówię wyżej jest czynny. Drugiej już nie ma.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Ten Minidump wygląda na bezużyteczny. To jest zrzut pamięci z BSOD prawdopodobnie wywołanego przez GMER - w stacku jest sterownik GMER (awldypow.sys). Czyli nie te dane do "Laptop czasem (raz na kilka dni) samoczynnie się restartuje." Poczekaj do następnego zdarzenia i dopiero wtedy sprawdź czy jest jakiś nowy zrzut pamięci utworzony.

 

2. Log ze SpaceSniffer bez zmian. Jest tylko uwzględniony root C i katalog Windows, nie ma w ogóle całego dysku. Czy Ty na pewno poczekałeś do końca aż SpaceSniffer skończy obliczać cały dysk C? Dopóki on przetwarza dysk, raport jest cząstkowy i opcja eksportu podaje tylko fragment.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

marcos777 nie mam pojęcia co tu się dzieje, ale pokazujesz mi dokładnie to samo co przedtem. Program nie wygląda na startowany w trybie administracyjnym. To jest zły niepełny odczyt. W jaki sposób uruchamiasz go jako Administrator? Czy na pewno pokazuje się dialog UAC? Wyeksportuj z rejestru do weryfikacji cały klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

13MB z tego klucza? Przecież ten klucz jest mało zasobny ...

 

Natomiast trochę mnie zaćmiło ze SpaceSniffer i brakiem SVI na mapie. Przecież niedawno czyściłeś chyba Przywracanie systemu, czy tak? Dawałam w poprzednim temacie takie instrukcje, aczkolwiek nie napisałeś wyyraźnie, że tę akcję przeprowadziłeś. Jeśli jednak wyczyściłeś punkty, to jest możliwe że na widoku na obrazku nie widać SVI, bo jest bardzo mały, a mapa nie ma aż takiego zoomu. Nadal jednak pozostaje kwestia dlaczego Export jest taki skromny..... EDIT: opisz mi krok po kroku wszystkie czynności, które wykonujesz przy generowaniu raportu.

Odnośnik do komentarza
marcos777

marcos777

Opublikowano
  • Autor
Opublikowano

Ok, picasso!

 

export_rejestr tylko HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System - tylko ta gałązka

 

File report Space Sniffer - już chyba dobry, bo export trwał kilka minut. A robiłem tak samo jak poprzednio.

 

Punktu Przywracania Systemu nie usuwałem, ale mam z tym kłopoty od dawna. Tak przy ręcznym usuwaniu jak i ich tworzeniu. Wyskakuje komunikat z błędem 0x80070032.

Ale czasem tworzą się przy okazji działania jakichś programów, które je wymuszają.

 

OTL.txt

 

OTL.extras

 

EDIT:

screen_SRENG_suspicious files

 

System Repair Engineer - log

 

EDIT:

IObit Security 360 - raport !!!

post-2-0-10668100-1307519812_thumb.jpg

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Widzę, że Ty jakby w kółko dręczysz aspekty potencjalnej infekcji, podsuwając mi coraz bardziej egzotyczne raporty (o które wcale Cię nie proszę) - tu nic nie wskazuje na problem tego rodzaju. Na temat wyników:

 

|Name|Type|Description|ID|
Rogue.RegistryFix - Removed, Registry Key, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Registry Fix_is1, 4-29748
Trojan.BHO - Quarantined, File, C:\Windows\system32\viscomrmencoder.dll, 11-26745

1. Klucz RegistryFix v8.0. Owszem, zastanawiałam się nad tym co to za dziwo i gdzie jest strona domowa tego cudaka. Teraz wyszukałam dokładniej i na forum MBAM jest wyraźnie powiedziane, że to rogue KLIK. "Program" w całości wywal z dysku.

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Registry Fix_is1" = RegistryFix v8.0

2. Plik viscomrmencoder.dll natomiast wygląda na fałszywy alarm. To RealMedia Writer Filter = plik któregoś programu konwertującego firmy Viscomsoft.

 

Przy okazji: sugeruję się pożegnać z IObit Security 360. Firma ma na sumieniu kradzież baz sygnaturowych MBAM. Żadnego zaufania nie mam do tej "marki".

 

 

screen_SRENG_suspicious files

 

Funkcja "Copy suspicious files to..." wcale nie oznacza infekcji. Program "na ślepo" kopiuje pliki z lokalizacji, które skanuje. Żaden z pokazanych tu plików nie wygląda na szkodliwy (cały czas udaję, że nie widzę cracka Office).

 

 

Tu należy się zająć gorszymi błędami:

 

1. Błędy Przywracania systemu:

 

Punktu Przywracania Systemu nie usuwałem, ale mam z tym kłopoty od dawna. Tak przy ręcznym usuwaniu jak i ich tworzeniu. Wyskakuje komunikat z błędem 0x80070032.

Ale czasem tworzą się przy okazji działania jakichś programów, które je wymuszają.

Taki błąd pojawia się gdy nie działają usługi Dziennika zdarzeń i Harmonogramu. Od razu zwraca moją uwagę Twój temat z WWDC: KLIK. Ten program w ogóle się nie nadaje dla Vista, a "pomyślne" przeprowadzenie w nim deaktywacji Harmonogramu ma rozległe skutki uboczne dla Vista, w której Harmonogram to podstawa działania wielu komponentów. Należy odkręcić działania WWDC. Na początek:

 

Start > w polu szukania wklep regedit > czy masz klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet

 

Jeśli jest, skasuj go i zresetuj komputer. Po tym sprawdź czy działa przestawianie statusu Przywracania systemu.

 

 

2. Uwalnianie miejsca na dysku, bo nadal jest niedobrze:

 

Drive C: | 52,14 Gb Total Space | 1,30 Gb Free Space | 2,49% Space Free | Partition Type: NTFS

Daj mi trochę czasu na analizę raportu ze SpaceSniffer. Jest potężny. Aczkolwiek podejrzewam, że i tak czeka Cię deinstalacja nadmiaru programów z dysku. Lista bogata, nie wszystkie softy dobrane trafnie (piję do obecności śmieci Exterminate It i RegistryFix). marcos777 powiem szczerze, ja tu notuję chaotyczne działania, szukanie cudotwórczych sprzątaczy, a wcale nie widzę byś się rzeczywiście zajmował odzyskiwaniem miejsca na dysku. Plus minus 1GB to max co tu dotychczas zrobiłeś. To za mało dla systemu Vista i widać to dobrze po kolejnych odczytach miejsca wolnego, gdzie to co dopiero odzyskane miejsce ponownie zaczyna spadać do krytycznej poprzeczki. Czyszczenie lokalizacji "tymczasowych" już tu wykonywane ma słabe rezultaty, a to oznacza, że problemem są niestety inne partie. Jak mówię, log ze SpaceSniffer muszę dopiero przeanalizować.

 

 

 

.

Odnośnik do komentarza
marcos777

marcos777

Opublikowano
  • Autor
Opublikowano

Jak zwykle miałaś rację picasso:

Taki błąd pojawia się gdy nie działają usługi Dziennika zdarzeń i Harmonogramu. Od razu zwraca moją uwagę Twój temat z WWDC: KLIK. Ten program w ogóle się nie nadaje dla Vista, a "pomyślne" przeprowadzenie w nim deaktywacji Harmonogramu ma rozległe skutki uboczne dla Vista, w której Harmonogram to podstawa działania wielu komponentów. Należy odkręcić działania WWDC. Na początek:

 

Start > w polu szukania wklep regedit > czy masz klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet

 

Jeśli jest, skasuj go i zresetuj komputer. Po tym sprawdź czy działa przestawianie statusu Przywracania systemu.

Zrobiłem co kazałaś i już zniknął problem PPS :) thx

 

 

RegistryFix v8.0. - wywal to

Już zrobione.

 

 

 

 

Widzę, że Ty jakby w kółko dręczysz aspekty potencjalnej infekcji, podsuwając mi coraz bardziej egzotyczne raporty.

Sugeruję się pożegnać z IObit Security 360.

Ale chyba nic złego nie robi, a wydaje się, że trafnie ustrzelił. Dzisiejszy skan IObit 360

Podobnie jak Ad-Remover, USBFix, FindyKill`a, Sreng, DiskMax lubię nimi jeszcze szybko posprzątać jako uzupełnienie MBAM.

Często coś znajdą i usuną, widać od razu różnicę w pracy kompa.

Np. poruszając się po spisie w Start / Wszystkie programy zauważam,

że zanim dobrze zatrzymam myszkę na danej linijce - już się otwiera jej rozwinięcie.

A przed skanowaniem i czyszczeniem - otwierały się z opóźnieniem 2-3 sek.

 

 

Uwalnianie miejsca na dysku, bo nadal jest niedobrze

 

Picasso, ponieważ już ze 2 tygodnie lapcio chodzi ok, bez restartów, a Ty możesz jesteś pewnie bardzo zajęta innym, poważniejszymi problemami forumowiczów,

to może nie trać czasu na analizę Space Sniffer, po prostu sam zrobię z 10 Gb miejsca. Jak będę miał więcej czasu to pousuwam/odinstaluję część programów,

aktualnie córka mocno okupuje sprzęt i nie mogę się dopchać.

 

EDIT

A może pokazać jakiś dziennik zdarzeń/błędów w systemie? Np.:

Monitor niezawodności i wydajności_raport

 

 

 

pozdrawiam

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...