lesio111 Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 Od dłuższego czasu pojawiają mi się ekrany śmierci. W pewnym momencie doszło do tego że musiałem przeinstalować system. Ale ekrany pojawiały się w dalszym ciągu aż doszło do tego że musiałem zrobić przywracanie uszkodzonego rejestru. Ale w dalszym ciągu problem powyższych ekranów nie zniknął. W dniu dzisiejszym spisałem kody błędów jakie się dzisiaj pojawiły. Cytuje stop 0x00000077 - podejrzenie wirusa w MBR i pod spodem atapi.sys, address f82f0302 base at f82df000, date stamp 4802539b. To pierwszy błąd i po jakiś 15 minutach pojawił się następny stop 0x00000077 (0x000000e, 0x000000e, 0x00000000, 0x03691000). Sporządziłem dwa raporty które dołączam. eSage Lab Bootkit Remover.txt MBRCheck_05.08.11_21.54.19.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 W pewnym momencie doszło do tego że musiałem przeinstalować system. Czy reinstalacja odbyła się przy udziale formatu dysku? Sporządziłem dwa raporty które dołączam Proszę załączyć wszystkie wymagane tu raporty, czyli także OTL + GMER, a także odczyt z Kaspersky TDSSKiller (tylko raport, cokolwiek wykryte = ustaw akcję Skip). . Odnośnik do komentarza
lesio111 Opublikowano 9 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2011 Tak reinstalacja odbyła się przy użyciu formatu dysku. Dołączam brakujące raporty, jednocześnie chciałby zaznaczyć że nie do końca został mi skasowany wirtualny naped. Pobrałem program wskazany przez Państwa jako usuwający pozostałości po w/w napędzie. W instrukcji napisane jest że pojawi się komunikat który mówi o podświetleniu przycisku uninstal, natomiast ja mam podświetlony przycisk update. W związku z tym mam pytanie czy samemu mam wykonac operacjie uninstal. W związku z powyższą sprawą mam zrobione aż 4 raporty przez program tdsskiller i je też dołączam. Najdziwniejsze jest to że każy raport pokazuje co innego. POdaje prawidłowy bład gdzyż pisząc posta popełniłem niechcący pomyłkę. stop 0x00000077 (0x000000e, 0x000000e, 0x00000000, 0x03691000) gmer.txt Extras.Txt OTL.Txt TDSSKiller.2.5.0.0_08.05.2011_23.39.44_log.txt TDSSKiller.2.5.0.0_09.05.2011_01.09.24_log.txt TDSSKiller.2.5.0.0_09.05.2011_01.36.42_log.txt TDSSKiller.2.5.0.0_09.05.2011_01.59.57_log.txt Odnośnik do komentarza
picasso Opublikowano 9 Maja 2011 Zgłoś Udostępnij Opublikowano 9 Maja 2011 Nie jestem przekonana czy tu jest w ogóle problem infekcji. Równie dobrze BSOD z atapi.sys (po formacie) mogą być konsekwencją powtarzania tego samego zachowania przed + po formacie: instalacja aplikacji do montowania wirtualnych napędów i jej sterownik SPTD. Jest to mocny sterownik o charakterystyce para-rootkit. Zaczniemy od ręcznego usunięcia tego sterownika, skoro SPTDinst tego nie wychwytuje. Faza wstępna będzie polegać tylko na deaktywacji SPTD i poddanie systemu obserwacji czy BSODy ustąpią. 1. Odinstaluj całkowicie z systemu aplikację do montowania wirtualnych napędów (tu wyczuwam obecność DAEMON Tools). Następnie zastosuj Defogger i zatwierdź restartem komputera. 2. Drobnostki poboczne: system jest zaśmiecony aplikacjami sponsoringowymi. Przeprowadź deinstalację Conduit Engine + uTorrentBar Toolbar w dwóch miejscach: Dodaj / Usuń programy oraz menedżer rozszerzeń Firefox. W menedżerze Firefox będzie jeszcze trzeci śmieć do deinstalacji : DAEMON Tools Toolbar. 3. Wygeneruj nowe logi z OTL + GMER. . Odnośnik do komentarza
lesio111 Opublikowano 9 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2011 Zgodnie z Państwa zaleceniami przesyłam raporty OTL + GMER. Jednocześnie chciałbym poinformować, że po uruchomieniu programu Defogger w celu całkowitego odinstalowania napędu wirtualnego Daemon Tools, program nie wykrył tego programu. Jednocześnie pojawił się inny problem, zgodnie z zaleceniem skasowałem Conduit Engine + uTorrentBar Toolbar w obydwu miejscach tzn. w Dodaj/Usuń programy i w menedżerze rozszerzeń Firefoxa. Ale po odinstalowaniu powyższych śmieci i zrestartowaniu komputera okazało się że w dalszym ciągu one są. Po wejściu w zakładkę widok i paski narzędzi one nadal występują pomimo że w menedżerze zostały usunięte. Chciałbym jednocześnie zaznaczyć, że ostatniego podanego śmiecia tj. Daemon Tools Toolbar nie mogę znaleźć w menedżerze rozszerzeń Firefoxa. Mam kłopoty z dołączeniem GMER, widocznie coś źle zapisałem. Zrobię raport jeszcze raz i wyślę. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2011 Zgłoś Udostępnij Opublikowano 10 Maja 2011 Mam kłopoty z dołączeniem GMER, widocznie coś źle zapisałem. Zrobię raport jeszcze raz i wyślę. W Załącznikach można dostarczać tylko rozszerzenie *.TXT a nie *.LOG. Jednocześnie chciałbym poinformować, że po uruchomieniu programu Defogger w celu całkowitego odinstalowania napędu wirtualnego Daemon Tools, program nie wykrył tego programu. Defogger nie służy do deinstalacji tylko do wyłączania usług tych programów. Defogger nic nie wykrył, to może któraś procedura już usunęła SPTD. Widzę bowiem zmianę. W poprzednim OTL było to: DRV - [2011-02-12 17:55:53 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Aktualny OTL w ogóle nie pokazuje tej linii, co wskazuje na usunięcie tego sterownika z systemu. Dostarcz zaległy GMER, jeśli naprawdę SPTD zniknął, w GMER będzie to widać (ustanie funkcji wywoływanych przez ten sterownik). Jednocześnie pojawił się inny problem, zgodnie z zaleceniem skasowałem Conduit Engine + uTorrentBar Toolbar w obydwu miejscach tzn. w Dodaj/Usuń programy i w menedżerze rozszerzeń Firefoxa. Ale po odinstalowaniu powyższych śmieci i zrestartowaniu komputera okazało się że w dalszym ciągu one są. Po wejściu w zakładkę widok i paski narzędzi one nadal występują pomimo że w menedżerze zostały usunięte. Chciałbym jednocześnie zaznaczyć, że ostatniego podanego śmiecia tj. Daemon Tools Toolbar nie mogę znaleźć w menedżerze rozszerzeń Firefoxa. Rzeczywiście, w menedżerze rozszerzeń Firefox falstart. Tych delikwentów (i inne drobnostki) wyczyszczę skryptem OTL: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.2.5.2 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties" [2011-04-02 02:38:23 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Leszek\Dane aplikacji\Mozilla\Firefox\Profiles\tajgr85q.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-04-02 02:39:03 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Leszek\Dane aplikacji\Mozilla\Firefox\Profiles\tajgr85q.default\extensions\engine@conduit.com [2011-02-08 23:36:08 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Leszek\Dane aplikacji\Mozilla\Firefox\Profiles\tajgr85q.default\searchplugins\conduit.xml [2011-02-12 17:57:23 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Leszek\Dane aplikacji\Mozilla\Firefox\Profiles\tajgr85q.default\searchplugins\daemon-search.xml [2011-05-09 18:28:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Leszek\Ustawienia lokalne\Dane aplikacji\Conduit [2011-02-24 17:12:06 | 000,000,000 | ---D | M](C:\WINDOWS\System32\-?ystemroot%) -- C:\WINDOWS\System32\-ystemroot% O2 - BHO: (IplexToALLPlayer) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - File not found SRV - File not found [Auto | Stopped] -- -- (gupdate) :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymaszlog z usuwania. 2. Wytwórz nowe logi z OTL + dołącz i ten z usuwania. . Odnośnik do komentarza
lesio111 Opublikowano 10 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2011 Dziekuję za odpowiedź. Dołączam zaległy GMER. Natomiast dalsze zalecenia zrobię już jutro w ciągu dnia. gmer1.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2011 Zgłoś Udostępnij Opublikowano 10 Maja 2011 Log z GMER potwierdza zdjęcie sterownika SPTD, ustąpiły wszystkie hooki uprzednio widzialne w raporcie. Pozostały tylko w rejestrze zablokowane klucze SPTD, ale to statyczne odpadki, które zwykle ostają się po deinstalacji sterownika, ze względu na brak uprawnień do manipulacji na kluczach. W związku z tym: nie próbuj w tym systemie instalować żadnego DAEMON Tools czy Alcohola i poddaj system obserwacji czy BSODy ustąpiły. Jeśli ekrany śmierci przestaną się pojawiać, to będzie odpowiedź = system ten nie może mieć sterownika SPTD, co równa się rezygnacji z wymienionych tu programów. Odnośnik do komentarza
lesio111 Opublikowano 10 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2011 Witam Zgodnie z Państwa zaleceniem wykonałem skrypt i ponowny raport OTL, co załączam. Mam jeszcze jeden problem, może to jest drobnostka ale trochę przeszkadzająca. Nie zawsze przy pierwszym uruchomieniu komputera zaskakuje windows. Rzecz polega na tym ze na ekranie (jest to czarny ekran), pojawia sie treśc. Ja w tej chwili nie pamietam całej ale na dole są polecenia np. Uruchom system windows lub uruchom system windows (ostatnie dobre ustawienia. Wyzej polecenia wykonaia rożnych systemów awaryjnych. Bardzo bym prosił o pomoc w tej sprawie. OTL.Txt Extras.Txt skrypt.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2011 Zgłoś Udostępnij Opublikowano 10 Maja 2011 Problem sponsorów załatwiony - w OTL wywołaj opcję Sprzątanie. Nie wypowiadasz się nic na temat BSOD, czy od momentu usunięcia SPTD wystąpił niebieski ekran śmierci? Mam jeszcze jeden problem, może to jest drobnostka ale trochę przeszkadzająca.Nie zawsze przy pierwszym uruchomieniu komputera zaskakuje windows. Rzecz polega na tym ze na ekranie (jest to czarny ekran), pojawia sie treśc. Ja w tej chwili nie pamietam całej ale na dole są polecenia np. Uruchom system windows lub uruchom system windows (ostatnie dobre ustawienia. Wyzej polecenia wykonaia rożnych systemów awaryjnych. Ten typ ekranu się pojawia, jeśli uprzednie zamknięcie systemu było nieprawidłowe. Tak więc o tym, czy jest to "problem" zdecyduje dopiero czas testowy po przeprowadzonych tu akcjach. . Odnośnik do komentarza
lesio111 Opublikowano 10 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2011 Na chwilę obecną nie wystepuje problem niebieskich ekranów. Dziekuję za pomoc. W razie jeszcze jakichkolwiek problemów bedę się odzywal. Poczekam kilka dni i będę obserwowal jak się zachowuje. Czy po sprzątaniu przesłać raport? Odnośnik do komentarza
picasso Opublikowano 10 Maja 2011 Zgłoś Udostępnij Opublikowano 10 Maja 2011 Czy po sprzątaniu przesłać raport? Nie. Sprzątanie usuwa program OTL z dysku i podanie tej instrukcji jest równoważne z brakiem prośby o raporty. Temat nie został zdefiniowany jako "wirusowy" i zostaje przeniesiony do działu Windows pod zmienionym tytułem. Odnośnik do komentarza
lesio111 Opublikowano 10 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2011 Po zrobieniu sprzątania i uruchomieniu ponownym komputera było wszystko dobrze do czasu jak chciałem odpalic gg i po chwili pojawił sie niebieski ekran. Tym razem było stop 0x00000077 (0xc000000e, 0xc000000e, 0x00000000, 0x03c4f000). Nie wiem co może być tego przyczyną. A co do raportu to po sprzataniu zauwazyłem że takiego nie ma. Ponowne uruchomie kompuera po wystąpieniu niebieskiego ekranu obeszło się bez komplikacji. Odnośnik do komentarza
picasso Opublikowano 10 Maja 2011 Zgłoś Udostępnij Opublikowano 10 Maja 2011 Zapakuj cały katalog C:\Windows\Minidump do ZIP, shostuj na SpeedyShare i podaj tu link. A co do raportu to po sprzataniu zauwazyłem że takiego nie ma. Ten proces nie tworzy żadnego raportu, byłoby to nielogicznie w kontekście tego co prowadzi "Sprzątanie". . Odnośnik do komentarza
lesio111 Opublikowano 10 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2011 Przesyłam linka do Windows\Minidump http://www.speedyshare.com/files/28401915/Minidump.zip Odnośnik do komentarza
picasso Opublikowano 10 Maja 2011 Zgłoś Udostępnij Opublikowano 10 Maja 2011 Niestety tam są stare i nieadekwatne do sytuacji zrzuty pamięci. Jeden minidump pochodzi sprzed miesiąca, drugi zaś sprzed dwóch dni i to jest pokłosie startu GMER. było wszystko dobrze do czasu jak chciałem odpalic gg i po chwili pojawił sie niebieski ekran. Tym razem było stop 0x00000077 (0xc000000e, 0xc000000e, 0x00000000, 0x03c4f000). Nie wiem co może być tego przyczyną. Wstępnie artykuł KB315266. Punkt 1 odpada - masz system XP SP3 (ale czy wszystkie aktualizacje wydane po SP3?). Ustęp z wirusami - nic na to nie wskazuje oceniając dostarczone wcześniej logi, a był tu zresztą format dysku. Czyli skup się na punkcie 2 - przetestowanie dysku pod kątem błędów. Nie jest tu wykluczony również problem sprzętowy (piję do przeprowadzonego formatu). Diagnostyka HDD do przeprowadzenia w MHDD. Rozważam jeszcze ewentualny niepożądany wpływ pakietu Kaspersky Internet Security. . Odnośnik do komentarza
lesio111 Opublikowano 11 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 11 Maja 2011 Przed chwilą uaktualniłem windows poprzez windows update. Co do sprawy sprzętowej to mam takie pytanie, czy oprócz sprawy dysku przyczyna może być przegrzewający się procesor (prawdopodobnie), gdyż komputer dość głośno chodzi. Odnośnik do komentarza
3oo Opublikowano 11 Maja 2011 Zgłoś Udostępnij Opublikowano 11 Maja 2011 W dzienniku zdarzeń systemowych przewija się: Error - 2011-05-10 12:30:14 | Computer Name = HAMAS-E28E0ABC1 | Source = Disk | ID = 262155Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk0\D. Stąd pewno prośba o skan + s.m.a.r.t. z MHDD. I to sugerowałbym odrobić na początek. Procesor? Nie sądzę... Ale moja szkalna kula może się mylić. Podaj więcej informacji o sprzęcie = https://www.fixitpc.pl/topic/155-zakladanie-tematu-jakie-informacje-podawac/ Kiedy komputer ostatni raz był czyszczony? Radiator procesora nie jest zabity kurzem? Wentylator na nim się kręci? Podobnie z wentylatorami karty grafiki (o ile nie jest to chłodzenie pasywne). Sprawdź sobie programami diagnostycznymi jaką temperaturę osiąga procek. HWiNFO32, PC Wizard, SIW (obecnie płatny, ale możesz użyć starszej wersji) - możesz pobrać w wersji portable, nie będziesz musiał ich instalować. Możesz użyć programu AIDA (dawniej Everset). Przyjrzyj się też temperaturom karty grafiki. Sterowniki aktualne? Pokaż screen z menedżera urządzeń jeśli występują jakieś problemy ze sterownikami... Podaj też dane o zasilaczu (producent, model) - spisz dane z jego nalepki (tabliczki znamionowej) lub zapodaj fotkę. https://www.fixitpc.pl/topic/138-zasilacze-komputerowe-garsc-informacji/ Odnośnik do komentarza
lesio111 Opublikowano 8 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2011 Witam Chciałbym podziękować za pomoc w rozwiązaniu problemu, ale jak się okazało dysk musiał iść do wymiany. Po wymianie dysku wszystko wróciło do normy. Ponowne kłopoty zaczęły się po podłączeniu internetu z kablówki. Już myślałem że ponownie komputer musi iść do serwisu ale okazało się że wina leży po mojej stronie. Nie powinienem wyłączać modemu z sieci, gdyż komputer zgłupiał całkowicie. Na szczęście jak na razie jest po kłopocie i mam nadzieje że już tak będzie. Odnośnik do komentarza
lesio111 Opublikowano 19 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2011 (edytowane) Witam W dalszym ciągu mam kłopoty z komputerem. Pojawiają się niebieskie ekrany. Komputer jest po przeglądzie i wymianie dysku. Najciekawsze jest to że kłopoty są tylko w weekendy natomiast w tygodniu komputer pracuje dobrze i nie pojawiają sie te ekrany. Dzisiaj w przeciągu 3 godzin padał już z 4 razy, zawsze ten sam błąd stop 00000077 (0xc000000e, 0xc000000e, 0x00000000, 0x091fe000). Chciałbym zaznaczyć jeszcze że jak już się komputer zaczyna uruchamiać to dochodzi do momentu 504MB OK i otwieranie się zatrzymuje. Nie pomaga reset, dopiero wyłączenie komputera i ponowne włączenie doprowadza komputer do uruchomienia. Właśnie w trakcie pisania postu komputer ponownie padł, tym razem błąd tki stop 0000007a (0xc03e14ec, 0x000000e, 0xf853b302, 0x091a5860)i pod spodem atapi,sys address f853b302, baseat f852a000, date stamp 4802539d. Edytowane 19 Czerwca 2011 przez picasso Temat sklejam z poprzednim. //picasso Odnośnik do komentarza
switch48 Opublikowano 19 Czerwca 2011 Zgłoś Udostępnij Opublikowano 19 Czerwca 2011 lesio111 Zobacz tu > http://support.microsoft.com/kb/315266/pl oraz tutaj > http://support.microsoft.com/kb/275149/pl Może tam znajdziesz wyjaśnienie. Odnośnik do komentarza
picasso Opublikowano 19 Czerwca 2011 Zgłoś Udostępnij Opublikowano 19 Czerwca 2011 switch48 Pierwszy link już był tu podawany: Wstępnie artykuł KB315266. Punkt 1 odpada - masz system XP SP3 (ale czy wszystkie aktualizacje wydane po SP3?). Ustęp z wirusami - nic na to nie wskazuje oceniając dostarczone wcześniej logi, a był tu zresztą format dysku. Czyli skup się na punkcie 2 - przetestowanie dysku pod kątem błędów. A finał to: dysk musiał iść do wymiany. Po wymianie dysku wszystko wróciło do normy lesio111 W dalszym ciągu mam kłopoty z komputerem. Pojawiają się niebieskie ekrany. Komputer jest po przeglądzie i wymianie dysku. Najciekawsze jest to że kłopoty są tylko w weekendy natomiast w tygodniu komputer pracuje dobrze i nie pojawiają sie te ekrany. Dzisiaj w przeciągu 3 godzin padał już z 4 razy, zawsze ten sam błąd stop 00000077 (0xc000000e, 0xc000000e, 0x00000000, 0x091fe000). Chciałbym zaznaczyć jeszcze że jak już się komputer zaczyna uruchamiać to dochodzi do momentu 504MB OK i otwieranie się zatrzymuje. Nie pomaga reset, dopiero wyłączenie komputera i ponowne włączenie doprowadza komputer do uruchomienia. Właśnie w trakcie pisania postu komputer ponownie padł, tym razem błąd tki stop 0000007a (0xc03e14ec, 0x000000e, 0xf853b302, 0x091a5860)i pod spodem atapi,sys address f853b302, baseat f852a000, date stamp 4802539d. Skoro dysk wymieniony (co jak rozumiem jest równoważne z czystą instalacją XP) i na pewno nie władowałeś ponownie sterowników emulacji napędów DAEMON Tools / Alcohol (piję do błędu z atapi.sys), to daj pełną specyfikację sprzętu KLIK. . Odnośnik do komentarza
lesio111 Opublikowano 20 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2011 Witam nie nie instalowałem żadnych wirtualnych napędów ani programu alkohol. nie bardzo rozumiem jak mam zrobić tą specyfikacje sprzętu. Jeśli można proszę o podpowiedź Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2011 Zgłoś Udostępnij Opublikowano 20 Czerwca 2011 nie bardzo rozumiem jak mam zrobić tą specyfikacje sprzętu. Jeśli można proszę o podpowiedź Przecież podane w linku! Sprzęt spisać, programy podane (np. HWiNFO32). Odnośnik do komentarza
lesio111 Opublikowano 20 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2011 przesyłam log info.txt Odnośnik do komentarza
Rekomendowane odpowiedzi