MDJ Opublikowano 2 Marca 2011 Zgłoś Udostępnij Opublikowano 2 Marca 2011 Witam, na początku chcę podkreślić iż nie zmam się na komputerach, a mam problem który mnie denerwuje, a co ciekawe pojawia się w większości gdy mam połączenie z internetem. O większości rzeczy i nazw o których piszę poniżej dowiedziałem się z tego forum. Nie piszę z swojego laptopa tylko z laptopa dziewczyny. Mam Laptopa Acer aspire 5730z Windows Vista 32 bitowy ( x86), Antywir : Avira i McAffe ( zainstalowany bez przedłużonej licencji) Po krótkiej pracy czasem pod dłuższej pojawia mi się komunikat : "System windows nastąpił problem krytyczny i zostanie uruchomiony w ciągu jednej minuty". Wtedy słyszę, że wiatrak bardzo głośno chodzi. W podglądzie zdarzeń pojawiają mi się takie o to wpisy, gdy pojawia się wyżej wymieniony komunikat. "Aplikacja powodująca błąd services.exe, wersja 6.0.6001.18000, sygnatura czasowa 0x47918b99, moduł powodujący błąd unknown, wersja 0.0.0.0, sygnatura czasowa 0x00000000, kod wyjątku 0xc0000005, przesunięcie błędu 0x01ea6b62, identyfikator procesu 0x310, godzina rozpoczęcia aplikacji 0x01cbd8d814f8ef4c. services.exe 6.0.6001.18000 47918b99 unknown 0.0.0.0 00000000 c0000005 01ea6b62 310 01cbd8d814f8ef4c " Nie mam pojęcia co to oznacza. Wczoraj kolega poradził mi jako cudowny środek na ten problem program COMOFIX. Dziś zrobiłem skanowanie system używając tego programu. Po kilku godzinach przeczytałem na forach iż nie jest cudowny środek na wszystkie problemy. Więc bojąc się by już nic nie namieszać nie używałem programów w tym dziale : https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/ Co ciekawe komunikat nie pokazuję się gdy mój laptop nie jest podłączony do internetu. Czy może mi ktoś powiedzieć w czym jest problem i pomoże mi się go pozbyć krok po kroku ? Z góry Dziękuje ComboFix.txt blad.txt Odnośnik do komentarza
picasso Opublikowano 2 Marca 2011 Zgłoś Udostępnij Opublikowano 2 Marca 2011 Więc bojąc się by już nic nie namieszać nie używałem programów w tym dziale : http://www.fixitpc.p...owiazkowe-logi/ Ależ to właśnie ma być pokazane ... To nieingerencyjne skanery. Czekam na raporty z OTL oraz GMER. Póki co, brak podstaw do szukania infekcji w stanie czynnym, choć nie wiem co sądzić o stanie tej usługi: --- Inne Usługi/Sterowniki w Pamięci --- *Deregistered* - uoslupep [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\uoslupep] Ja tu jednak podejrzewam jako przyczynę błędu odwrotność - przeinwestowane i nieprawidłowo dobrane oprogramowanie zabezpieczające: Antywir : Avira i McAffe ( zainstalowany bez przedłużonej licencji) Wstępne zalecenia to deinstalacje: 1. Nadmiar (starych) antywirusów. Jeden a nie dwa. Decyduj, który zostaje, gdyż drugi powinien zostać odinstalowany. I tak oba są przestarzałe: Avira datowana na 2008, a McAfee na 2007. Tak po prawdzie to oba powinny wylecieć, a po tym zainstalować tylko jeden najnowszy, starannie wybrany. 2. Do deinstalacji kompletnie zdezelowany firewall GhostWall z roku 2005, który nie ma kompatybilności z Vista. Jego mogłabym podejrzewać o jakieś niedobre działania i ten błąd podczas połączenia z siecią pasuje mi do typu programu. To chyba jakiś świeży nabytek, bo plik GhostWall figuruje w kontekście świeżego wygenerowania: 2011-03-01 18:21 . 2008-10-18 21:23 6520 ----a-w- c:\windows\system32\drivers\ghstwall.sysS2 ghstwall;ghstwall;c:\windows\system32\drivers\ghstwall.sys [2011-03-01 6520] 3. Sugeruję pozbyć się także Spybot Search & Destroy. Program przestarzały. 4. I mniejsza drobnostka, czyli śmieć sponsoringowy Ask Toolbar. Byłeś nieuważny przy instalacji Wise Registry Cleaner. To należało właśnie odznaczyć ..... Po wykonaniu wszystkich deinstalacji wyprodukuj zgodnie z zaleceniami wymagane logi do oceny. Windows 6.0.6001 Service Pack 1 NTFS System nie jest aktualizowany. Brakuje SP2 dla Vista .... . Odnośnik do komentarza
MDJ Opublikowano 3 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2011 Wywaliłem wszystko oprócz antywirów ponieważ z nimi mam związane pytanie, a mianowicie, czy jeśli je aktualizuje na bieżąco to i tak muszę wgrywać nowe "bazy" albo fundamenty by sprawnie te programy działały ?? Jeśli tak to wgram nową "bazę". Zrobiłem skany przez OTL i GMER ten drugi znalazł "ROTNIK". Po skanach chciałem wgrać SP2, ale wystąpił błąd. SP2 był ściągany z stron Microsoftu. Laptop działał mi bez zarzutu przez około 9 h z wyłączonym internetem. Gdy włączyłem internet pojawił się ten sam komunikat o błędzie krytycznym, zauważyłem też że avira w tym samym czasie automatycznie się wyłącza. Po 2 restarcie pojawiło się niebieski ekran i po chwili miałem tylko do wyboru opcję narzędzia systemowa ładowane przez system ( zalecane) dałem enter i pojawił się komunikat System Recower Opctions. Laptop wykonał operację ponownie uruchomił się windows i wyskoczył komunikat o błędzie krytycznym. Nie mogę wgrać raportu z GMER więc prześle go jako dok. 1Extras.Txt 1OTL.Txt dok.txt Odnośnik do komentarza
picasso Opublikowano 3 Marca 2011 Zgłoś Udostępnij Opublikowano 3 Marca 2011 Ten klucz, który punktowałam w swoim poście, jest oznaczony jako ukryty. Najwyraźniej jest to czynny rootkit. 1. Uruchom Avenger i w pustym polu wklej: Drivers to delete: uoslupep Files to delete: C:\Windows\System32\drivers\uoslupep.sys Kliknij w Execute i zatwierdź reset komputera. 2. Po restarcie wygeneruj nowe logi z GMER i OTL. Jeśli rootkit zostanie pomyślnie usunięty, przejdziemy do dalszego czyszczenia mniej istotnych elementów. Wywaliłem wszystko oprócz antywirów ponieważ z nimi mam związane pytanie, a mianowicie, czy jeśli je aktualizuje na bieżąco to i tak muszę wgrywać nowe "bazy" albo fundamenty by sprawnie te programy działały ?? Jeśli tak to wgram nową "bazę". Chodzi mi właśnie o "fundamenty". Aktualizacja definicji to nie jest aktualizacja całego silnika antywirusowego (sterowniki). Oba widziane tu antywirusy są stare i aktualizacja baz tego nie nadrobi. Posiadasz AntiVir PersonalEdition Classic, aktualnie ten program to Avira AntiVir Personal i ma strażnika osłony rzeczywistej. Instrukcje nadal aktualne: wyrzucić oba antywirusy i zastąpić jednym najnowszym. . Odnośnik do komentarza
MDJ Opublikowano 3 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2011 Pierw wywaliłem wszystkie antywiry. Zainstalowałem Maicrosoft Security Essentiales. Uruchomiłem Avenger. Laptop zrestartował się, Był niebieski ekran, potem identycznie jak wczoraj recover. Załadował się system i widzę ze nie ma MSE wgranego. OTL przeprowadził skan pomyślnie. Włączyłem GMER pojawił się komunikat o rotniku i po chwili laptop sam sie zrestartował , pojawił się niebieski ekran potem wybór trybów sytemu awaryjny sieć normalny. Wybrałem normalny. System się zalogował nie było raportu z skanowania odpaliłem GMER jeszcze jeden komunikat o rotniku, program podziała chwil parę znów restart laptopa i tak dwa razy. Gdy chciałem sprawdzić czy internet będzie działał bez zarzutu, od razu pojawił się komunikat o błędzie krytycznym 2OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Marca 2011 Zgłoś Udostępnij Opublikowano 3 Marca 2011 Objawy wskazują, że rootkit wcale nie został usunięty. Powtórz zadanie, tylko tym razem zamiast kasacji usługi rootkit zadam jej wyłączenie, a jeśli ono będzie pomyślne, usunięcie nieczynnego sterownika w późniejszym czasie będzie już łatwe. 1. Uruchom Avenger i w oknie wklej: Drivers to disable: uoslupep Klik w Execute, zatwierdź restart systemu. 2. Po kolejnym restarcie podaj: log który utworzy Avenger oraz nowe logi OTL + GMER. . Odnośnik do komentarza
MDJ Opublikowano 3 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2011 Oki zrobiłem tak jak kazałaś. Po restarcie laptopa przez averag pojawił się komunikat trybu uruchamiania systemu wybrałem normalnie. W dalszym ciągu GMER w trakcie skanowania restartuje laptopa więc przez to nie mam z niego raportów. OTL.Txt avenger.txt Odnośnik do komentarza
picasso Opublikowano 3 Marca 2011 Zgłoś Udostępnij Opublikowano 3 Marca 2011 W dalszym ciągu GMER w trakcie skanowania restartuje laptopa więc przez to nie mam z niego raportów. Nie zdjąłeś emulacji wirtualnych napędów - jest o tym w ogłoszeniu KLIK: DRV - [2008-10-16 17:34:24 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)DRV - [2011-01-27 21:13:49 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01) Usługa rootkit została pomyślnie wyłączona via Avenger, czyli ją widać w OTL i można jako nieczynną usuwać tym sposobem: DRV - [2011-03-03 18:13:55 | 000,750,080 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\uoslupep.sys -- (uoslupep) Zanim jednak do tego przejdziemy, przygotuj "widok" w taki sposób, by skrypt do OTL był już ostatnim tu stosowanym, od razu dedykował i odpadki po deinstalacjach sponsorów. Czyli: 1. Usuń kolejne śmieci sponsoringowe: Burn4Free DB Toolbar, DAEMON Tools Toolbar. To skutki instalacji programów w sposób mało rozumny. Ani DAEMON ani Burn4Free nie są czyste i te składniki paskowe należy właśnie odznaczać... 2. Po ich deinstalacji robisz nowy log z OTL do oceny z opcji Skanuj, nie zapomnij zaznaczyć "Rejestr - skan dodatkowy" na "Użyj filtrowania". . Odnośnik do komentarza
MDJ Opublikowano 4 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2011 Przed usunięciem programów udało mi się zrobić skan programu GMER. ( 1log1 ) Po usunięciu programów i zainstalowaniu nowego antywirusa Micorosofta zrobiłem skan przez program OTL. Mam tylko problem z SP2 ponieważ nie chce mi się sam zainstalować. 1log1.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Marca 2011 Zgłoś Udostępnij Opublikowano 4 Marca 2011 Pytanie: robiłeś skan którymś narzędziem i ono coś usuwało? Zniknęła bowiem z listy sterowników wyłączona usługa rootkita uoslupep. 1. Zostały mało istotne szczątki do usunięcia oraz czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/burn4free/{00B4942A-DE66-4797-B34B-EE28BC7AABD5}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Burn4Free DB Toolbar\tbcore3.dll () O4 - Startup: C:\Users\Olaf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xfire.lnk = File not found :Files C:\Users\Olaf\AppData\Roaming\Mozilla\Firefox\Profiles\0mfarngi.default\searchplugins\askcom.xml C:\Users\Olaf\AppData\Roaming\Mozilla\Firefox\Profiles\0mfarngi.default\searchplugins\daemon-search.xml C:\Users\Olaf\AppData\Local\Temp*.html C:\cleanup.exe C:\cleanup.bat C:\backup.reg :Commands [emptyflash] [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. Komputer zostanie zresetowany. Na koniec otrzymasz log. 2. Nie odinstalowałeś Burn4Free DB Toolbar. Popraw to ... 3. Do oceny ostatnie już logi z OTL. Mam tylko problem z SP2 ponieważ nie chce mi się sam zainstalować. Wejdź do tematu dedykowanego problemom z Windows Update: KLIK. Pobierz i uruchom Narzędzie analizy gotowości aktualizacji systemu. Przeklej zawartość wynikowego raportu CheckSur.log. . Odnośnik do komentarza
MDJ Opublikowano 4 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2011 Pytanie: robiłeś skan którymś narzędziem i ono coś usuwało? Zniknęła bowiem z listy sterowników wyłączona usługa rootkita uoslupep. Wszystko co się działo opisywałem w postach. OTL i GMER nie pokazywały mi żadnego komunikatu dotyczącego usunięcia rootkita. Po skanach zrobiłem skan antywirusem microsoftu, on wykrył 2 trojany i usuną je. ( Zainstalowałem go i przy aktualizacji sam się zrobił) " ================================= Checking System Update Readiness. Binary Version 6.0.6002.22574 Package Version 11.0 2011-03-04 22:43 Checking Windows Servicing Packages Checking Package Manifests and Catalogs Checking Package Watchlist Checking Component Watchlist Checking Packages Checking Component Store Summary: Seconds executed: 2077 No errors detected" Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Marca 2011 Zgłoś Udostępnij Opublikowano 5 Marca 2011 OTL i GMER nie pokazywały mi żadnego komunikatu dotyczącego usunięcia rootkita. Nie mam na myśli GMER i OTL, bo żaden z nich nie był przeze mnie poinstruowany, by się tym zająć. Mnie chodziło o skaner typu Microsoft Security Essentials. Usługa była (jako wyłączona po akcji z Avenger), usługi nagle nie ma (ale GMER już nie wskazuje na rootkita) = coś to usunęło. Kończymy z logami: 1. Odinstaluj w prawidłowy sposób ComboFix. Jeśli go skasowałeś, pobierz ponownie na Pulpit. Następnie z klawiatury kombinacja klawisz z flagą Windows+ R i wklej polecenie: C:\Users\Olaf\Desktop\ComboFix.exe /uninstall 2. W OTL wywołaj opcję Sprzątanie. To usunie kwarantannę i program OTL oraz składniki Avenger. 3. Drobniejsze aktualizacje do wykonania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java 6 Update 14"{AC76BA86-7AD7-1033-7B44-A81200000003}" = Adobe Reader 8.1.2"Gadu-Gadu" = Gadu-Gadu 7.7"Gadu-Gadu 10" = Gadu-Gadu 10"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)"Tlen.pl" = Tlen.pl - Firefox, Java, Adobe Reader do aktualizacji: INSTRUKCJE - Bezsensowne połączenie GG7 + GG10 (i jeszcze do tanga Tlen) zgrabnie można zastąpić jednym programem, który: obsługuje cechy nowego Gadu (takie jak długie numery, szyfrowanie, multilogowanie), nie ma żadnych reklam, może działać w trybie portable. Te warunki spełniają WTW i Miranda. Opisy tu: Darmowe komunikatory. Na temat Windows Update: log nie wykazuje błędów, więc załóżmy na początek, że problemu nie stanowi sfera skanowana przez CheckSur. Rozpocznijmy od podstaw: 1. W jaki sposób pobrałeś SP2? Czy metodą automatyczną z Windows Update czy pełny instalator? Jeśli przez Windows Update, to w zamian pobierz pełny instalator do uruchomienia z dysku. Linki w tym artykule: KB935791 (Metoda 3). Zanim uruchomisz, wykonaj punkty 2+3: 2. Zresetuj komponenty Windows Update posiłkując się Fixit Microsoftu z KB971058. Zaznacz tryb agresywny. 3. Tuż przed instalacją SP2 wyłącz sterownik emulacji napędów wirtualnych SPTD za pomocą narzędzia Defogger + osłonę rezydentną Microsoft Security Essentials. . Odnośnik do komentarza
MDJ Opublikowano 5 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2011 Pierw chciałem zrobić przez update, ale pojawiał się tam błąd. Potem ściągnąłem na dysk : Windows6.0-KB947821-v12-x86. Uruchomiłem Fixit Microsoftu, po czym przystąpiłem do instalacji sp2 ( wyłączyłem antywirusa , ponieważ nie wiedziałem o co chodzi "osłonę rezydentną Microsoft Security Essentials" Po 30 min wyskoczył mi komunikat, że instalacja powiodła się. Uruchomiłem ponownie laptopa sprawdzam czy sp2, okazuje się, że nadal jest sp1, nie wiem czy to błąd czy tam ma być ? I mam jeszcze jedno pytanie jak mam usunąć GMER ? Odnośnik do komentarza
picasso Opublikowano 7 Marca 2011 Zgłoś Udostępnij Opublikowano 7 Marca 2011 Wykonałeś resztę zadań? I mam jeszcze jedno pytanie jak mam usunąć GMER ? Po prostu skasuj jego plik EXE. Tylko tyle. wyłączyłem antywirusa , ponieważ nie wiedziałem o co chodzi "osłonę rezydentną Microsoft Security Essentials" Chodziło mi o: Ustawienia > Osłona w czasie rzeczywistym > odznaczenie "Włącz ochronę w czasie rzeczywistym (zalecane)". Po 30 min wyskoczył mi komunikat, że instalacja powiodła się. Uruchomiłem ponownie laptopa sprawdzam czy sp2, okazuje się, że nadal jest sp1, nie wiem czy to błąd czy tam ma być ? To nie wygląda na prawidłową instalację. Dopóki stoi we właściwościach systemu znacznik "SP1", nowszy Service Pack nie wygląda na zainstalowany. Jak rozumiem, constant = nadal błąd Windows Update? W kwestii błędu 800F081F: znalazłam taki temat KLIK, gdzie to mowa o likwidacji problemu poprzez montaż nowszej wersji Windows Update Agent (ale to przecież tu już teoretycznie wykonane = najnowszego Agenta montuje automatycznie stosowany tu już Fix-it Microsoftu) lub Windows Installer 4.5 (możesz spróbować). Link: KLIK. . Odnośnik do komentarza
MDJ Opublikowano 26 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2011 Nic mi się nie udało zrobić. Próbowałem przez MicrosoftFixit, potem ręcznie wgrać SP2, lecz nadal mam niby SP1. Próbowałem też przez update, lecz nie powiodło się. Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2011 (edytowane) Próbowałem przez MicrosoftFixit, potem ręcznie wgrać SP2, lecz nadal mam niby SP1. Próbowałem też przez update, lecz nie powiodło się. Ale ja tu nie widzę w ogóle wzmianki o tym, czy próbowałeś najpierw zainstalować Windows Installer 4.5 (podałam link, w którym ktoś rozwiązał ten błąd tym sposobem), a dopiero po tym próba z SP2. Edytowane 7 Maja 2011 przez picasso 7.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi