Skocz do zawartości

Windows XP (Service Pack 3) nie chce się w ogóle uruchomić


Rekomendowane odpowiedzi

Witam,

Tak jak w temacie, ale opowiem wszystko od początku, żeby nie było niejasności.

Niedawno pisałem na forum PC Format, że podejrzewam infekcję. Prowadzący wątek wskazał mi, że to mógł być rootkit. Nie mogłem go jednak wykryć i nie bawiąc się w jakieś gierki zainstalowałem od nowa cały system. Po zaktualizowaniu i zainstalowaniu wszystkich niezbędnych sterowników przeskanowałem cały komputer programem G Data (świeżym antywirusem) Internet Security z licencji rocznej. Wykrył 3 wirusy, które następnie usunąłem. Będąc już trochę doświadczony w walce z wirusami, przeskanowałem cały komputer GMER-em oraz Malwarebytes'em. O ile GMER wg mnie nic nie wykrył, o tyle MBAM wykrył 2 wirusy. Sądząc (zresztą słusznie), że to nie wszystko ponownie przeskanowałem komputer G Datą i znów wykrył 2 wirusy. Jednak dalsze skanowania nic nie dawały, więc dałem sobie spokój. W podglądzie zdarzeń często patrzyłem na raporty odnośnie błędów, bowiem zdarzało się czasem, że gra się wyłączała i był "wyślij raport o błędach", a po kilku dniach nawet komputer raz się zresetował zamiast się wyłączyć. Pierwszą usterką był problem z usługą Userenv, który jednak naprawiłem pobierając odpowiednią aplikację z internetu. Następnie był błąd systemu. Zainstalowałem narzędzie do otwierania plików minidumpowych i otworzyłem go. Z raportu dowiedziałem się, że winę za taki stan rzeczy prawdopodobnie ponosi plik ntoskrnl.exe. Czytając w internecie o konsoli odzyskiwania zainstalowałem takową w systemie. Uruchamiając ją włożyłem dysk systemowy i podmieniłem ten plik z dysku za pomocą komendy: copy J:\i386\ntoskrnl.ex_ C:\Windows\system32\ntoskrnl.exe, po czym konsola poinformowała mnie, że plik został pomyślnie podmieniony. Potem wszystko działało prawidłowo, nawet w podglądzie zdarzeń nie było żadnego błędu poza błędami aplikacji.

Aha, i zapomniałem jeszcze wspomnieć o skanerze Panda Online- chcąc zainstalować wtyczkę niechcący próbowałem zainstalować free antivirus i część plików została wypakowana na dysk (kapnąłem się dopiero, kiedy instalator mi kazał odinstalować G Datę, bo był niekompatybilny). Być może dlatego stale w podglądzie pojawiał się komunikat, że "system nie może wczytać następujących elementów rozruchowych przy starcie systemu: shldrv" i że "nie można wczytać Panda Security (coś tam takiego), bo system nie może odnaleźć określonej ścieżki" itd. ale to mi nie przeszkadzało. Jedyny mankament to to, że w GTR Evolution w intro występują ledwie zauważalne (ale naprawdę da się usłyszeć jak się weźmie głośniej) zakłócenia dźwięku, które występowały na starym systemie z powodu (jak sądzę) wyżej wymienionego rootkita, choć wtedy były bardziej wyraźne. Ale ponieważ G Data nic a nic nie wykrywał to postanowiłemto zostawić. Dzisiaj zainstalowałem GT Legends z płyty CD- Action- gra chodziła bez problemu. Ale gdy tylko wyłączyłem komputer, by po pewnym czasie włączyć go znowu- nastał ów problem. System w ogóle się nie uruchomił, tylko komputer się zresetował i jak to w takich przypadkach bywa przy każdym uruchamianiu kompa pokazuje się ten czarny ekran, przy którym trzeba wybrać tryb uruchomienia systemu. Próbowałem wszystkie- żaden nie działał, komputer się resetował, jedynie ostatnio wszystkie tryby awaryjne się uruchamiają, ale nie ma potem nic więcej niż szary migający poziomy kursor na czarnym ekranie... Myślę sobie- dzięki Bogu, że zrobiłem konsolę odzyskiwania. Jeszcze raz zrobiłem myk z tym samym plikiem- niestety, nic to nie pomogło. Próbowałem z użyciem komendy BOOTCFG \REBUILD, ale też nic z tego. Jednak nie poddałem się i odpaliłem mój wcześniej utworzony Kaspersky Rescue Disk 10. Przeskanowałem komputer (dwie najbardziej zagrożone partycje- systemowa i główna z grami) i oto co znalazł: w System Volume Information (na partycji tej głównej) trojana Packed.Win32.Krap.hc. Oczywiście natychmiast go wykasowałem, ale nadal nic się nie dzieje- system się nie uruchamia. Powiem, że do tej pory nie spotkałem się z taką sytuacją i mam nadzieję, że ktoś mnie wspomoże. Jedyne co mogłem zrobić to napisać tutaj z Mozilli znajdującej się na Kaspersky Rescue Disk...

 

PS. Aha, i jeszcze jedno- po wybraniu opcji "Uruchom komputer ponownie" lub "Wyłącz komputer" w Rescue Disk ekran robi się czarny, pojawiają się na środku ekranu w takiej samej odległości dwa poziome różowe i długie "kursory", po czym coś się chyba pisze, ale ja widzę tylko jakieś różowe i niebieskie piksele, w końcu stacja dysków się wysuwa, a dopiero po wsunięciu następuje wybrana opcja (nie wiem, czy to jest normalne w tym przypadku).

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raporcie OTLPE nie ma śladów infekcji. A co się rzuca w oczy dla mnie, to nie wątki infekcji, tylko wzmianki o uruchamianiu gier (obciążenie systemu) jakoś dziwnie zbieżne z występowaniem problemów.

 

 

Cytat
Nie mogłem go jednak wykryć i nie bawiąc się w jakieś gierki zainstalowałem od nowa cały system. Po zaktualizowaniu i zainstalowaniu wszystkich niezbędnych sterowników przeskanowałem cały komputer programem G Data (świeżym antywirusem) Internet Security z licencji rocznej. Wykrył 3 wirusy, które następnie usunąłem. Będąc już trochę doświadczony w walce z wirusami, przeskanowałem cały komputer GMER-em oraz Malwarebytes'em. O ile GMER wg mnie nic nie wykrył, o tyle MBAM wykrył 2 wirusy. Sądząc (zresztą słusznie), że to nie wszystko ponownie przeskanowałem komputer G Datą i znów wykrył 2 wirusy. Jednak dalsze skanowania nic nie dawały, więc dałem sobie spokój.

 

Bez podania gdzie i w czym to było wykryte nie jest możliwa diagnoza na ile to było warte zainteresowania. Przecież nie mając danych jest równie prawdopodobne dla mnie, że to mogło być: zagrożenie, małe piwo, fałszywy alarm....

Poza tym, świeży system i już "trzy wirusy"?

 

 

Cytat
W podglądzie zdarzeń często patrzyłem na raporty odnośnie błędów, bowiem zdarzało się czasem, że gra się wyłączała i był "wyślij raport o błędach", a po kilku dniach nawet komputer raz się zresetował zamiast się wyłączyć. Pierwszą usterką był problem z usługą Userenv, który jednak naprawiłem pobierając odpowiednią aplikację z internetu. Następnie był błąd systemu. Zainstalowałem narzędzie do otwierania plików minidumpowych i otworzyłem go. Z raportu dowiedziałem się, że winę za taki stan rzeczy prawdopodobnie ponosi plik ntoskrnl.exe. Czytając w internecie o konsoli odzyskiwania zainstalowałem takową w systemie. Uruchamiając ją włożyłem dysk systemowy i podmieniłem ten plik z dysku za pomocą komendy: copy J:\i386\ntoskrnl.ex_ C:\Windows\system32\ntoskrnl.exe, po czym konsola poinformowała mnie, że plik został pomyślnie podmieniony. Potem wszystko działało prawidłowo, nawet w podglądzie zdarzeń nie było żadnego błędu poza błędami aplikacji.

 

Jedyny mankament to to, że w GTR Evolution w intro występują ledwie zauważalne (ale naprawdę da się usłyszeć jak się weźmie głośniej) zakłócenia dźwięku, które występowały na starym systemie z powodu (jak sądzę) wyżej wymienionego rootkita, choć wtedy były bardziej wyraźne. Ale ponieważ G Data nic a nic nie wykrywał to postanowiłemto zostawić.

Dzisiaj zainstalowałem GT Legends z płyty CD- Action- gra chodziła bez problemu. Ale gdy tylko wyłączyłem komputer, by po pewnym czasie włączyć go znowu- nastał ów problem.

 

(...)

 

PS. Aha, i jeszcze jedno- po wybraniu opcji "Uruchom komputer ponownie" lub "Wyłącz komputer" w Rescue Disk ekran robi się czarny, pojawiają się na środku ekranu w takiej samej odległości dwa poziome różowe i długie "kursory", po czym coś się chyba pisze, ale ja widzę tylko jakieś różowe i niebieskie piksele, w końcu stacja dysków się wysuwa, a dopiero po wsunięciu następuje wybrana opcja (nie wiem, czy to jest normalne w tym przypadku).

 

Te zjawiska sugerowałoby raczej, że nie jest to problem infekcji .... Tzn. piję do sprzętu.

 

 

Cytat
Zainstalowałem narzędzie do otwierania plików minidumpowych i otworzyłem go. Z raportu dowiedziałem się, że winę za taki stan rzeczy prawdopodobnie ponosi plik ntoskrnl.exe. Czytając w internecie o konsoli odzyskiwania zainstalowałem takową w systemie. Uruchamiając ją włożyłem dysk systemowy i podmieniłem ten plik z dysku za pomocą komendy: copy J:\i386\ntoskrnl.ex_ C:\Windows\system32\ntoskrnl.exe, po czym konsola poinformowała mnie, że plik został pomyślnie podmieniony. Potem wszystko działało prawidłowo, nawet w podglądzie zdarzeń nie było żadnego błędu poza błędami aplikacji.

 

Jeśli jako przyczyna w zrzucie pamięci stoi ntoskrnl.exe, to zwykle ten plik (jądro) nie jest właśnie przyczyną, prędzej sterowniki / sprzęt. Mimo że wiążesz wymianę pliku z poprawą sytuacji, ja jakoś w to wątpię. Mogłeś nie uruchomić tego co prowadzi do błędu.

 

 

Cytat
System w ogóle się nie uruchomił, tylko komputer się zresetował i jak to w takich przypadkach bywa przy każdym uruchamianiu kompa pokazuje się ten czarny ekran, przy którym trzeba wybrać tryb uruchomienia systemu. Próbowałem wszystkie- żaden nie działał, komputer się resetował, jedynie ostatnio wszystkie tryby awaryjne się uruchamiają, ale nie ma potem nic więcej niż szary migający poziomy kursor na czarnym ekranie... Myślę sobie- dzięki Bogu, że zrobiłem konsolę odzyskiwania. Jeszcze raz zrobiłem myk z tym samym plikiem- niestety, nic to nie pomogło. Próbowałem z użyciem komendy BOOTCFG \REBUILD, ale też nic z tego.

 

Jak mówiłam, "myk z plikiem" jądra nie powinien mieć tu nic do rzeczy. Spróbuj jeszcze nadpisać sektor rozruchowy i MBR z poziomu Konsoli Odzyskiwania wpisując komendy:

 

FIXBOOT

FIXMBR

 

Jeśli będzie to nieskuteczne, zrób jeszcze sprawdzanie dysku:

 

CHKDSK /P /R

 

Jeśli to także nie będzie skuteczne, to chyba zostaniesz skierowany na badania sprzętu....

 

 

Cytat
Jednak nie poddałem się i odpaliłem mój wcześniej utworzony Kaspersky Rescue Disk 10. Przeskanowałem komputer (dwie najbardziej zagrożone partycje- systemowa i główna z grami) i oto co znalazł: w System Volume Information (na partycji tej głównej) trojana Packed.Win32.Krap.hc. Oczywiście natychmiast go wykasowałem, ale nadal nic się nie dzieje- system się nie uruchamia.

 

To tylko izolowana kopia infekcji w folderze Przywracania systemu, nie bierze udziału w czynnym systemie i nie ma znaczenia dla procesu startu. Nawet nie wiadomo czy to rzeczywiście plik infekcji, gdyż w Przywracaniu kopie plików są przemianowane. Sama nazwa zagrożenia o niczym nie świadczy jeszcze.

 

 

Odnośnik do komentarza

W raporcie OTLPE nie ma śladów infekcji. A co się rzuca w oczy dla mnie, to nie wątki infekcji, tylko wzmianki o uruchamianiu gier (obciążenie systemu) jakoś dziwnie zbieżne z występowaniem problemów.

 

Muszę tutaj dodać, że są to starsze gry, które niekoniecznie mogą zawsze w pełni współpracować z systemem XP. Aha i jeszcze jedno: na poprzednim systemie prawdopodobnie siedział rootkit lub jakieś inne równie paskudne dziadostwo. We wszystkich przypadkach błędy pojawiały się podczas wczytywania danych zapisanych jeszcze w tym starym systemie, więc jest duże prawdopodobieństwo, że zostały źle zapisane. Podczas wczytywania danych zapisanych na obecnym systemie nie było żadnych błędów.

 

Poza tym, świeży system i już "trzy wirusy"?

 

To o tyle mnie nie dziwi, że zrobiłem backup z partycji systemowej na dysk z grami dodatkowo kompresując w .zip, więc tam wcale nie było wykluczone, że wirusa nie ma.

I tam też zostały wykryte, bowiem na partycji systemowej nie było żadnych zagrożeń.

 

Te zjawiska sugerowałoby raczej, że nie jest to problem infekcji .... Tzn. piję do sprzętu.

 

W sumie skoro Kaspersky i inne antywirusy nie potrafiły nic więcej wykryć w "świeżym" systemie, to i ja podejrzewam, że winę za to nie może ponosić wirus.

Ale zapewniam, że zainstalowałem wszystkie najnowsze sterowniki, nie spotkałem się z żadnym błędem podczas instalacji i system na bieżąco się aktualizował.

 

Jeśli jako przyczyna w zrzucie pamięci stoi ntoskrnl.exe, to zwykle ten plik (jądro) nie jest właśnie przyczyną, prędzej sterowniki / sprzęt. Mimo że wiążesz wymianę pliku z poprawą sytuacji, ja jakoś w to wątpię. Mogłeś nie uruchomić tego co prowadzi do błędu.

 

O konsoli odzyskiwania przeczytałem całkiem niedawno. Ale tutaj też podmiana pliku mogła coś zmienić, gdyż ten błąd się nie powtórzył, choć wystąpił tylko raz.

 

Jeśli to także nie będzie skuteczne, to chyba zostaniesz skierowany na badania sprzętu....

 

Jeżeli chodzi o sprzęt, to jestem całkowicie spokojny. Jedynie płyta główna (która już została wymieniona) zgłaszała pewne problemy, ale już wszystko działa bez problemu. Każdy podzespół został przemyślany i jest dobrany tak, aby wyeliminować nawet najmniejsze niekompatybilności. Więc o sprzęt raczej bym się nie bał.

 

Użyłem podanych komendy, tyle że:

najpierw chkdsk /p, potem /r, potem FIXBOOT, a na końcu FIXMBR.

Według mnie to nic nie dało, niby wszystko pomyślnie zostało wykonane, ale i tak wszystko do bani bo nadal to samo- system po prostu nie chodzi.

Jeżeli to by w jakiś sposób mogło pomóc, mogę ponownie zainstalować system, bo robiłem to jeszcze tydzień temu i mam zabezpieczone wszystkie potrzebne pliki.

 

Bez podania gdzie i w czym to było wykryte nie jest możliwa diagnoza na ile to było warte zainteresowania. Przecież nie mając danych jest równie prawdopodobne dla mnie, że to mogło być: zagrożenie, małe piwo, fałszywy alarm....

 

Cóż, mogę tyle powiedzieć: według mnie to na pewno było duże zagrożenie, bo:

podczas grania często, choć nie zawsze (prawdopodobnie wtedy, gdy wirus był aktywny) dźwięk z głośników się strasznie psuł i było słychać dziwne zakłócenia,

tak samo przy oglądaniu filmów,

zdarzało się, że komputer się zawieszał,

bardzo często się resetował zamiast się normalnie wyłączyć,

system w ogóle się nie aktualizował,

antywirus nic nie wykrywał, jedynie 39 ukrytych rootkitów, których w dodatku nie umiał usunąć, bo były nieaktywne.

Odnośnik do komentarza

Temat przenoszę tymczasowo do działu Windows, choć nie wykluczam, że temat powędruje i jeszcze gdzieś indziej.

 

 

Cytat
Cóż, mogę tyle powiedzieć: według mnie to na pewno było duże zagrożenie, bo

 

Wyniki nie podane (w jakich plikach wykryte), nie mogę tego ocenić, ale same objawy nie udawadniają wcale bycia pochodną infekcji. Są bardzo ogólne (w żadnym wypadku nie są ekskluzywne dla infekcji), mogą być z powodu wieelu rzeczy od software (włącznie z inteferencją GData - to jest kombajn sterownikowy) po hardware. Poza tym, to dla mnie śmieszne, że osoba wcześniej prowadząca pomoc typowała rootkita, ale nie była zdolna go wykryć, aka bajkopisarz. Pokaż ten poprzedni temat dla orientacji jakie tam dane były dostarczone, jak prowadzono temat i skąd w ogóle koncepcja rootkitów.

 

 

Cytat
antywirus nic nie wykrywał, jedynie 39 ukrytych rootkitów, których w dodatku nie umiał usunąć, bo były nieaktywne.

 

Tu jest sprzeczność. Nieaktywny rootkit = usuwany bez przeszkód. Aktywny rootkit = wręcz przeciwnie. Czy nie popełniłeś tu jakiegoś Freudowskiego przejęzyczenia? W przeciwnym wypadku jest dla mnie treść conajmniej dziwna. I ponownie: nie widziałam wyników skanera, nie mogę tego ocenić czy to były prawdziwe rootkity a nie obiekty innego rodzaju zablokowane dostępowo.

 

 

Cytat
Ale zapewniam, że zainstalowałem wszystkie najnowsze sterowniki, nie spotkałem się z żadnym błędem podczas instalacji i system na bieżąco się aktualizował.

 

Te operacje systemowe wykonane bezbłędnie nie są dowodem na brak usterki sprzętowej. Akcje na dość jałowym biegu i pewne rzeczy mogą nie wyjść na jaw.

 

 

Cytat
Jeżeli chodzi o sprzęt, to jestem całkowicie spokojny. Jedynie płyta główna (która już została wymieniona) zgłaszała pewne problemy, ale już wszystko działa bez problemu. Każdy podzespół został przemyślany i jest dobrany tak, aby wyeliminować nawet najmniejsze niekompatybilności. Więc o sprzęt raczej bym się nie bał.

 

Sprecyzuj czasokres wystąpienia i rodzaj usterki. Na temat pozostałej treści: to jednak stanowczo zbyt mało, by odczepić się od hardware. Przecież tymi słowami ja mogę opisać swój komputer, który mi się już dawno spalił. By podjąć się eliminacji tego zagadnienia, należałoby wykonać liczne testy. Nie mamy tu podanej też specyfikacji sprzętowej i trudno bazować tylko na ogólnym sformułowaniu.

 

 

Cytat
Użyłem podanych komendy, tyle że:

najpierw chkdsk /p, potem /r, potem FIXBOOT, a na końcu FIXMBR.

Według mnie to nic nie dało, niby wszystko pomyślnie zostało wykonane, ale i tak wszystko do bani bo nadal to samo- system po prostu nie chodzi.

Jeżeli to by w jakiś sposób mogło pomóc, mogę ponownie zainstalować system, bo robiłem to jeszcze tydzień temu i mam zabezpieczone wszystkie potrzebne pliki.

 

Polecenie chkdsk /p /r to była jedna konkretna komenda, rozbicie tego na dwie wydłużyło niepotrzebnie robotę. Oczywistym też jest, że skoro bez zmian po tych komendach, to znaczy że nie ma tu co rozważać i problemem nie jest raczej obszar boot tylko całkiem co innego. Koncepcja rootkita w MBR upadła, parę innych zresztą też.

 

 

Cytat
Jeżeli to by w jakiś sposób mogło pomóc, mogę ponownie zainstalować system, bo robiłem to jeszcze tydzień temu i mam zabezpieczone wszystkie potrzebne pliki.

 

Skoro jesteś gotowy przeznaczyć system na ubój, wykonaj przed eksperyment który może (lub też i nie) wskazać czy problem gnieździ się w rejestrze. Wyciągnij wsteczną kopię całego rejestru z jednego z punktów Przywracania systemu (o ile miałeś je włączone) pochodzącego sprzed usterki. Zacytuję siebie z innego tematu:

 

picasso napisał:
1. Zastartuj na ten komputer z płyty OTLPE. Z Pulpitu uruchom My Computer. Wejdź na dysk z Windows do katalogu, gdzie Przywracanie systemu trzyma swoje pliki, czyli C:\System Volume Information.

 

2. W katalogu tym są różne punkty Przywracania, a są zbudowane wg schematu:

 

C:\System Volume Information\_restore{numerki}\RPX\Snapshot

 

Masz wybrać ten punkt Przywracania, który nie jest najnowszy i jest datowany na okres sprzed wystąpienia problemu. W środku są pliki (na pomarańczowo rejestr systemu, na niebiesko rejestr użytkownika):

 

_REGISTRY_USER_.DEFAULT

_REGISTRY_MACHINE_SECURITY

_REGISTRY_MACHINE_SOFTWARE

_REGISTRY_MACHINE_SYSTEM

_REGISTRY_MACHINE_SAM

_REGISTRY_USER_NTUSER_S-1-5-21-bardzo-długi-numerek

 

Skopiuj je do tymczasowo utworzonego folderu np. C:\TMP. Zmień im nazwy korespondująco na: DEFAULT, SECURITY, SOFTWARE, SYSTEM, SAM, NTUSER.DAT

 

3. Plikami pomarańczowymi masz podstawić pliki w C:\WINDOWS\system32\config, zaś niebieskim w C:\Documents and settings\Twoje konto. Wykonaj kopię zapasową plików zastępowanych!

 

4. Resetujesz komputer

 

Odnośnik do komentarza

Co do tematu, było ich dwa:

 

http://forum.pcformat.pl/Sprawdzenie-logow-z-Hijackthis-i-GMER-t

i

http://forum.pcformat.pl/Prosze-o-sprawdzenie-logow-z-OTL-a-GMER-a-i-RSIT-a-t

 

Za każdym razem fachowcy z PC Format nie umieli mi pomóc.

 

Jeżeli chodzi o rejestr, zrobiłem kopie zapasowe rejestru systemu w folderze tmp tak, jak to radzili w książce PC Format "Sam napraw swój komputer", natomiast nie robiłem kopii rejestru użytkownika.

 

Aha, i te 39 rootkitów: http://imageshack.us/f/151/pliktekstowy.jpg/

 

Próba z rejestrem niestety też nic nie dała, nadal nie mogę uruchomić systemu. Pozostała już chyba reinstalacja...

 

Ale jeszcze przed tym uciekłem się do takiego "podstępu", żeby naprawić system. Pomysł wypalił, i to nawet bardzo dobrze, bo wszystkie ustawienia i sterowniki ocalały. Pozostał tylko Service Pack 2, nie wiem czy instalować 3 żeby znowu coś się nie zepsuło.

 

Ale powiem tak: system na początku zaskoczył mnie dużą ilością błędów. Okazało się, że programy od sterownika płyty głównej ASUS- czyli EPU engine, Turbo-V i Turbo-Key niestety zostały brutalnie "powstrzymane" przez system przed uruchomieniem, które to dotychczas uruchamiały się przy każdym starcie systemu bezbłędnie. Chyba już tylko wystarczyłoby zaktualizować system, ale te programy mogą być dość pomocne (zwłaszcza EPU engine- jak wezmę na Max Power Saving to wentylator procesora cichnie niesamowicie). Nie dałoby się ich jakoś wskrzesić (bowiem przy każdej próbie uruchomienia wyskakuje błąd: http://imageshack.us/photo/my-images/191/errorlew.jpg/ )?

 

Podejrzewam jeszcze infekcję: Internet Explorer podczas aktualizacji do wersji 8 wykrył szkodliwe oprogramowanie: http://imageshack.us/photo/my-images/15/ieerror.jpg/ http://imageshack.us/photo/my-images/851/ieerror2.jpg/

Chciałem pobrać IE 8 za pomocą Internet Explorera (bo wtedy zapomniałem zrobić printscreenu) żeby powtórzyć bo może coś się nie powiodło ale było to samo. W dodatku musiałem ściągać z Mozilli, bo IE dziwnie się zachowywał. Jak wszedłem na stronę Microsoftu: http://windows.microsoft.com/pl-PL/internet-explorer/products/ie/home to po naciśnięciu "pobierz teraz" wyświetlił mi się komunikat: http://imageshack.us/photo/my-images/146/ieerror3.jpg/ , co raczej nie jest normalne. Tak samo jak próbowałem wyjść ze strony za pomocą przycisku "wstecz".

I w dodatku migają mi ikony na pulpicie tak jakby co 5 sekund się automatycznie odświeżały bez mojej wiedzy o.O.

 

G Data nic nie znalazł, ale mogę przeskanować jeszcze Malwarebytes'em i innymi programami, zrobić parę logów do sprawdzenia, ewentualnie można spróbować Dr Webem.

 

Na temat tego ostatniego to mi się przypomniało, że na poprzednim systemie raz go rzekomy wirus zablokował przy zawieszeniu komputera jak był w trybie rozszerzonej ochrony.

 

Aha, przepraszam. Od niedawna przy uruchamianiu IE wyskakuje mi tylko "wyślij raport o błędach". No to chyba już jest jawny atak na IE.

Odnośnik do komentarza
Cytat

Za każdym razem fachowcy z PC Format nie umieli mi pomóc.

 

Słowo "fachowcy" zaraz zostanie przeze mnie podważone. Widzę, że temat zaczął się pół roku temu, to kupa czasu. Ujmę to tak: czarodzieje z Was. Koncepcję infekcji jako bazy dla problemów systemowych dorobiliście z powietrza, podobnie jak obecność "rootkita". Nieprawidłowo ocenione wyniki ze skanerów, przypisywana im większa waga niż rzeczywista, klapki na oczach na temat innych zagadnień niż "infekcja". A siła sugestii potężna i temat miał zasugerowany kierunek. W spoilerze masz skomentowane całe dwa tematy.

 

Spoiler

Zacznijmy od tego, że w żadnym z podanych logów nie ma śladów aktywnej infekcji. Wyniki w skanerach tu owszem były, tylko zostały przecenione. Natomiast nikt niestety się nie zainteresował tym, że system ma mix oprogramowania zabezpieczającego, że być może to jest przyczyna przynajmniej części złych zachowań (np. zawieszenia), a także nie zasugerował, że może należy sprawdzić zachowanie systemu zupełnie bez żadnego oprogramowania zabezpieczającego. Przecież do licha oprogramowanie zabezpieczające może tworzyć liczne problemy w systemie z wydajnością. To jest oprogramowanie oparte na dużej liczbie sterowników.... Błędy map swoją drogą, co to ma w ogóle wspólnego z "infekcją".

 

Temat 1

 

Co się rzuca w oczy to wstępny bałagan w sterownikach po oprogramowaniu zabezpieczającym. M.in. te błędy z Dziennika tyczące Nortona oraz ThreatFire:

 


Error - 2010-12-17 16:40:29 | Computer Name = RADOM-D99B0BA13 | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Norton Internet Security z powodu następującego
błędu: %%3

Error - 2010-12-17 16:40:30 | Computer Name = RADOM-D99B0BA13 | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego
lub systemowego: SRTSP SRTSPX TfFsMon TfSysMon

 

Oraz dla porównania pierwszy RSIT pokazujący ArcaBit w kombinacji ze szczątkami instalacji Norton Internet Security i PC Tools / Threatfire:

 


======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S0 TfFsMon;TfFsMon; C:\WINDOWS\system32\drivers\TfFsMon.sys []
S0 TfSysMon;TfSysMon; C:\WINDOWS\system32\drivers\TfSysMon.sys []
S1 SRTSP;SRTSP; \??\C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSP.SYS []
S1 SRTSPX;SRTSPX; \??\C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSPX.SYS []
S3 NAVENG;NAVENG; \??\C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS []
S3 NAVEX15;NAVEX15; \??\C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS []
S3 pctplsg;pctplsg; \??\C:\WINDOWS\system32\drivers\pctplsg.sys []
S3 TfNetMon;TfNetMon; \??\C:\WINDOWS\system32\drivers\TfNetMon.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S2 Norton Internet Security;Norton Internet Security; C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe /s Norton Internet Security /m C:\Program Files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll /prefetch:1 [] 

 

Zwróć uwagę na sterowniki SRTSP + SRTSPX, bo sam o nich pół roku później wspominasz. :P Tu już była niezdrowa sytuacja i należało tu porządnie wyczyścić system z tych szczątków (posługując się firmowymi deinstalatorami awaryjnymi + ręcznie wykończyć czego nie zdołają narzędzia). Nikt tego nie zrobił, a Ty zacząłeś się pogrążać instalując coraz to inne programy w dalszej fazie.

 

Cytat

byłem w szoku że miałem 47 infekcji i od razu usunąłem to dziadostwo. Wynik z tego, że ArcaVir JEST BEZNADZIEJNY bo nic nie wykrył

 

Nie sądzę, że rozumiesz te wyniki skanu. Wszystkie wyniki MyWebSearch to nie infekcja w rozumieniu, które próbujesz nałożyć. To jest tylko adware. Zwykle instalowane na własne życzenie, bo w którymś instalatorze innej aplikacji nie odznaczono komponentu sponsoringowego. Adware i skończony śmieć, ale to nie może być przyczyną opisywanych problemów. Ponadto, ArcaVir wcale nie musiał tego wykrywać, bo nie wszystkie AV adresują ten rodzaj zagrożeń (to nie jest wirus czy trojan).
Jedyny wynik, który jest dostatecznie podejrzany, to ten: c:\programdata\microsoft\Windows\start menu\Programs\Startup\2.exe (Trojan.Downloader) -> No action taken. To owszem wygląda na trojana. Tylko jedna uwaga: jest tu folder C:\Programdata. Taki folder nie istnieje na Windows XP, to jest folder Vista i Windows 7 i nie wiadomo skąd on tu się wziął na XP (nie kopiowałeś aby jakiś danych na ślepo?). Wnioski: ten plik nie był wcale w Autostarcie XP, bo Autostart XP to jest całkiem inna ścieżka:

 

C:\Documents and Settings\Twoje konto\Menu start\Programy\Autostart
C:\Documents and Settings\All users\Menu start\Programy\Autostart


 

Cytat

Ale to co mnie dzisiaj zdziwiło to to, że wirus się przestał uaktywniać po tym, jak przeskanowałem ESET Online Scannerem. Znalazł tylko jednego wirusa i być może to był ten. Zobacz:
D:\RECYCLER\S-1-5-21-1844237615-1935655697-725345543-1003\Dd1\Installer\BSINSTALLPL.exe odmiana wirusa Win32/Toolbar.MyWebSearch aplikacja usunięty - poddany kwarantannie.
Skasowałem go oczywiście. I zauważyłem, że większość wykrywanych infekcji pochodzą z MyWeb Seach. Możesz mi powiedzieć, jak można sprawdzić, czy to dziadostwo nie siedzi już w moim kompie?

 

To nie jest wirus, tylko adware. Po drugie: to tylko odpadek po kolekcji usuwanej MBAM i to odpadek nieczynny bowiem .... zlokalizowany w Koszu Windows (katalogi RECYCLER to prawdziwe foldery Kosza, na Pulpicie to tylko wirtualizowany skrót). Po trzecie: patrzysz na ten plik i nie widzisz, że masz podane precyzyjnie w czym to adware weszło w system. Tu jest pokazany instalator BSINSTALLPL.exe, czyli Bearshare. Tak, bo ten program instaluje właśnie śmiecia MyWebSearch. Na własne życzenie, przez bezrozumne klikanie dalej, bo nie odznaczyłeś tego w instalatorze Miśka. Wyjaśniona sprawa.


 

Cytat

Ja zaproponowałem swoje metody (możliwa infekcja typu rootkit - djlqlbda.sys)

 

Plik wygląda podejrzanie, tylko że rootkit detekcja nie wykryła wcale czynności tego sterownika. Trudno mi powiedzieć skąd może być ten plik, ale oceniając wszystko w temacie nie widać po prostu nic co jest związane z czynnościami rootkit i tak naprawdę nikt tego pliku nie sprawdził, ani skanowania indywidualnego ani poboru sumy kontrolnej i szukanie wg sumy = null. Znaczącym jest i to, że plik jest widoczny w skanie OTL (brak predyspozycji do szukania rootkit / narzędzie nie pracuje na tym poziomie) a niewidoczny w GMER (wręcz przeciwnie), co więc tu się nasuwa? Że może to wcale nie był żaden rootkit, tylko to jakiś obiekt czegoś kompletnie innego.


 

Cytat

Skanowałem ostatnio AVG w poszukiwaniu rootkitów i zszokowałem się co znalazł:
39 zagrożeń w jednym pliku. Ale nie mam sposobu na to, jak je usunąć.
Dodałem tylko do blokowanych aplikacji w COMODO Firewall.

 

Też jestem zszokowana, bo chciałeś dodać komponent COMODO do ... blokowania w COMODO. O tym piszę dalej. A że nikt Ci na to nie zwrócił uwagi to też wstrząsające.

 

 

Temat 2

 

Sprawdzam co się dzieje w sterownikach i jest jeszcze większy bałagan niż poprzednio. Twój post nr 3 i log z RSIT tym razem pokazujący sterowniki AVG / ArcaBit (i zapewne zostawił filtr na kartach sieciowych) / Panda / Comodo / Outpost i niezmiennie nieskorygowane uprzednio Symantec i ThreatFire:

 


======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 AVGIDSEH;AVGIDSEH; C:\WINDOWS\system32\DRIVERS\AVGIDSEH.Sys [2010-09-13 25680]
R0 Avgrkx86;AVG Anti-Rootkit Driver; C:\WINDOWS\system32\DRIVERS\avgrkx86.sys [2010-09-07 26064]
R0 pavboot;pavboot; C:\WINDOWS\system32\drivers\pavboot.sys [2009-06-30 28552]
R1 Avgldx86;AVG AVI Loader Driver; C:\WINDOWS\system32\DRIVERS\avgldx86.sys [2010-12-08 251728]
R1 Avgmfx86;AVG Mini-Filter Resident Anti-Virus Shield; C:\WINDOWS\system32\DRIVERS\avgmfx86.sys [2010-09-07 34384]
R1 Avgtdix;AVG TDI Driver; C:\WINDOWS\system32\DRIVERS\avgtdix.sys [2010-11-12 299984]
R3 ABndisMP;ABndisMP; C:\WINDOWS\system32\DRIVERS\abndis.sys [2009-12-01 34384]
R3 AVGIDSDriver;AVGIDSDriver; C:\WINDOWS\system32\DRIVERS\AVGIDSDriver.Sys [2010-08-19 123472]
R3 AVGIDSFilter;AVGIDSFilter; C:\WINDOWS\system32\DRIVERS\AVGIDSFilter.Sys [2010-08-19 30288]
R3 AVGIDSShim;AVGIDSShim; C:\WINDOWS\system32\DRIVERS\AVGIDSShim.Sys [2010-08-19 26192]
S0 Inspect;COMODO Internet Security Firewall Driver; C:\WINDOWS\System32\DRIVERS\inspect.sys []
S0 TfFsMon;TfFsMon; C:\WINDOWS\system32\drivers\TfFsMon.sys []
S0 TfSysMon;TfSysMon; C:\WINDOWS\system32\drivers\TfSysMon.sys []
S1 ABTDI;ArcaBit Network Driver; \??\C:\Program Files\ArcaBit\ArcaVir\ABTDI.sys []
S1 cmdGuard;COMODO Internet Security Sandbox Driver; C:\WINDOWS\System32\DRIVERS\cmdguard.sys []
S1 cmdHlp;COMODO Internet Security Helper Driver; C:\WINDOWS\System32\DRIVERS\cmdhlp.sys []
S1 SRTSP;SRTSP; \??\C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSP.SYS []
S1 SRTSPX;SRTSPX; \??\C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSPX.SYS []
S1 VFILT;Outpost Firewall Kernel Driver; \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\2000\FILTNT.SYS []
S3 ABndis;ABndis Service; C:\WINDOWS\system32\DRIVERS\abndis.sys [2009-12-01 34384]
S3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\ADBLOCK.DLL []
S3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\CONTENT.DLL []
S3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\DNSCACHE.DLL []
S3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\FTPFILT.DLL []
S3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\HTMLFILT.DLL []
S3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\HTTPFILT.DLL []
S3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\IMAPFILT.DLL []
S3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\MAILFILT.DLL []
S3 NAVENG;NAVENG; \??\C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS []
S3 NAVEX15;NAVEX15; \??\C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS []
S3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\NNTPFILT.DLL []
S3 pctplsg;pctplsg; \??\C:\WINDOWS\system32\drivers\pctplsg.sys []
S3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\POP3FILT.DLL []
S3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL); \??\C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\kernel\PROTECT.DLL []
S3 TfNetMon;TfNetMon; \??\C:\WINDOWS\system32\drivers\TfNetMon.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AVGIDSAgent;AVGIDSAgent; C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe [2011-01-06 6128720]
R2 avgwd;AVG WatchDog; C:\Program Files\AVG\AVG10\avgwdsvc.exe [2010-10-22 265400]
S2 cmdAgent;COMODO Internet Security Helper Service; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe []
S2 Norton Internet Security;Norton Internet Security; C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe /s Norton Internet Security /m C:\Program Files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll /prefetch:1 []
S2 OutpostFirewall;Outpost Firewall Service; C:\PROGRA~1\Agnitum\Outpost Firewall 1.0\outpost.exe /service []
S3 ArcaBit.Core.Configurator;ArcaBit.Core.Configurator; C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe []

 

Cytat

Aha, i dodam jeszcze że miałem wcześniej ArcaVira ale go wykasowałem i teraz mam AVG Anti-Virus Free Edition. Miałem także firewalla COMODO, ale go wykasowałem bo podejrzanie blokował mi zaufane pliki.

 

Jak widać z powyższej listy nieprawidłowo odinstalowane poprzednie programy i pogorszenie stanu przez skombinowanie AVG ze szczątkami poprzednich. W poście numer #10 została podjęta nieudolna próba usunięcia szczątków. Nieudolna, bo wystarczy porównać z odczytem z RSIT (to że nie widać czegoś w OTL nie znaczy, że tego nie ma...) ile sterowników tam widać a co faktycznie zostało zadane do usuwania (ani jeden sterownik z sekcji DRV, tylko widziane w OTL pojedyncze usługi SRV). Pojawił się tu też taki oto skrypt:

 


:Processes
explorer.exe

:OTL
SRV - File not found [Auto | Stopped] -- -- (OutpostFirewall)
SRV - File not found [Disabled | Stopped] -- -- (Norton Internet Security)
SRV - File not found [Auto | Stopped] -- -- (cmdAgent)
SRV - File not found [On_Demand | Stopped] -- -- (ArcaBit.Core.Configurator)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"50001:TCP"=-
"50000:TCP"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]

:Files
AUTORUN.INF /alldrives
$RECYCLE.BIN /alldrives
RECYCLER /alldrives


:Commands
[emptytemp]
[start explorer]
[reboot]

 

.... plus jego wyniki:

 


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!

========== REGISTRY ==========
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"ALLUpdate"| /E : value set successfully!

========== FILES ==========
AUTORUN.INF not found in C:\
AUTORUN.INF not found in D:\
AUTORUN.INF not found in E:\
$RECYCLE.BIN not found in C:\
$RECYCLE.BIN not found in D:\
$RECYCLE.BIN not found in E:\ 

 

Tak, bo tu są błędy w skrypcie:
- Skoro jest użyta komenda [emptytemp] (automatycznie zabija procesy i wymusza restart) to sekcja :Processes oraz reszta w :Commands całkiem bez sensu.
- Wartość ALLUpdate = zabrakło minusa, dlatego nie została usunięta
- Sekcja "Files" ni przypiął ni wypiął. Nie ma takich składników w logu. Tzn. RECYCLER jest na każdym XP postawionym na NTFS (wiec wiadomo że ślepym trafem to się zgodzi), bo to po prostu Kosz, ale czy widzisz w swoich raportach może Kosze Vista i Windows 7 czyli $RECYCLE.BIN oraz pliki autorun.inf? Toteż w wynikach usuwania wszędzie "not found". Zdaje się, że tamtejsi "eksperci" jadą na jakiejś matrycy i stosują ją niezależnie od tego co widać w logach. Ten kto podawał skrypt był u mnie i robił sobie tę samą krzywdę: KLIK. Pal licho, że u siebie to stosuje, ale używanie tego na cudzym systemie to zbrodnia, bo widać że logi wcale nie zostały prawidłowo zanalizowane! Powtarzam: nie ma uniwersalnych skryptów i takich rzeczy na ślepo się nie robi. To jest jawne nadużycie OTL.

 


:Processes
explorer.exe

:OTL

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-


:Files
AUTORUN.INF /alldrives
$RECYCLE.BIN /alldrives
RECYCLER /alldrives

:Commands
[emptytemp]
[start explorer]
[clearallrestorepoints]
[reboot]

 

Kolejny skrypt i jeszcze większy nonsens, gdyż mimo otrzymanych jasnych wyników w logu OTL, osoba ta powtarza dokładnie to samo, usuwanie nieistniejących rzeczy. Zaś wartości AppInit_DLLs się nie usuwa tylko ustawia na pustą, tak jak to jest domyślnie w Windows.


 

Cytat

Otóż mam kolejny problem. Co do tego, że w systemie jest rootkit (jak podejrzewał Paweł01) nie mogę mieć wątpliwości.

 

Ja mam wątpliwości czy potraficie analizować raporty ....


 

Cytat

Jeżeli można, chciałbym wiedzieć do czego służy zaznaczony Win.ini@load i Win.ini@run oraz czy można je bezpiecznie usunąć tak, aby nie naruszyć sprawności działania systemu?

 

Tu się zgadzam, że wpisy podejrzane i należało je usunąć. Podobny temat z naszego forum: KLIK.
 

Cytat

Jednakże natrafiłem na kolejną przeszkodę:
http://img861.images...i/problemx.jpg/
Mianowicie dzieje się tak teraz za każdym razem kiedy uruchomię GMER-a lub rozpocznę skanowanie OTL-em. System po prostu sugeruje że nie mam dysku

 

Podobny temat z forum: KLIK.


 

Cytat

Jeszcze mam pytanie- czy może tak być, że plik Thumbs.db (ukryty) mam na pulpicie już cały dzień i nie znika nadal (był pewnie po jednym ze skanów)?

 

Pliki thumbs.db to są bufory miniaturek Windows i pojawiają się w tych katalogach gdzie leżą jakieś pliki graficzne. Domyślnie plików nie widać, ujawniają się dopiero po przestawieniu opcji "Ukryj chronione pliki systemu operacyjnego". Pliki te nie znikają same, można sobie skasować ręcznie, a zapobieganie ich tworzeniu to zaznaczenie w Opcjach folderów "Nie buforuj miniatur".

 

Cytat

Hmm... przeskanowałem kompa tym co poleciłeś i znalazł parę syfów:
http://wklej.org/id/511053/
Jednak na dysku d:/ wykrył dużo folderów zabezpieczonych hasłem, co wg mnie jest podejrzane, gdyż ja ich na pewno nie szyfrowałem.

 

Pokazane wyniki pochodzą z katalogu System Volume Information (czyli Przywracania systemu), co oznacza że są wyizolowane i nie mają żadnego wpływu na działający system (dopóki nie cofniesz stanu systemu Przywracaniem). Następnie, w folderze System Volume Information to tylko kopie plików źródłowych pod zmienioną nazwą, więc nie wiadomo co to jest, a klasyfikacja tego jako "SuspiciousPacker.Multi.Generic" nasuwa przypuszczenia, że jest to zgłoszenie typu kompresji pliku i wcale nie musi to być żadna prawdziwa infekcja.
Co do "hasłowania": przypuszczam, że błąd Twojej interpretacji, tu nie chodzi o ręcznie nakładane hasło, a taki odczyt to nic nadzwyczajnego w skanerze. Nie pokazałeś fragmentu tego skanu, to nie mogę precyzyjnie podważyć teorii.
 

Cytat

Skanowałem ostatnio Rootkit Reveal i znalazł 3 podejrzane według mnie pliki (...) A tu jest log z Rootkit Reveal jak był aktywny owy wirus:

 

Podejrzane tylko wg Ciebie. Tu jest wszystko w porządku. Do wglądu opis Rootkit Revealer i ustęp "Hidden from Windows API". "Hidden from Windows API" wcale nie oznacza infekcji, to analizujący musi to zinterpretować. Taki odczyt nie związany zupełnie z infekcją może się pokazać jeśli obiekty podczas skanowania ulegają modyfikacji / skasowaniu, a skan jest w trakcie i skan to nieprawidłowo odczytuje. Do takich obiektów należą pliki tymczasowe czy Przywracania systemu. I takie też wyniki są w Twoich logach z Rootkit Revealer = pliki w katalogach tymczasowych i cache Firefox.
Poza tym: Rootkit Revealer to archaiczny soft sprzed 5 lat, nie stosuje się tego w diagnostyce rootkit, bo narzędzie nie jest wiarygodne i jest obchodzone. Nie pracuje też na tym samym poziomie co GMER.

 

Cytat

Myślę, że te informacje będą bezcenne i daję czas, aby to przeczytać i spokojnie przemyśleć. Mnie się nie spieszy B) .
PS. Błędy w zakładce "System" są od 06.04.2011 i także się wielokrotnie powtarzały, tutaj praktycznie codziennie.
SRTP i SRTPX tyczą się Mario Forever, natomiast cmd... są to procesy COMODO.

 

Zaiste, doszedłeś do tego po dwóch tematach i to samodzielnie bez udziału "fachowców". Sprawa powinna być rozwiązana w pierwszym, a potem szybko na początku skorygowana w drugim. SRTSP + SRTSPX to nie jest Mario Forever tylko Symantec. Dla porównania z mojego forum temat: KLIK. Sterowniki ThreatFire były w systemie, mimo że Ci się wydaje iż nie ma. Wszystkie logi RSIT mają te sterowniki w obu tematach, od pierwszego loga to widać, a nikt tym się nie zainteresował.
 

Cytat

 

A w grach to przeszkadza, kiedy dźwięk się psuje i występują zakłócenia, wahania fps, a np. w edytorze map H5 wyskakuje mi taki komunikat, jeżeli wczytuję jakieś mapy, a nowo utworzone się w ogóle nie zapisują.
Dodam, że gra na pewno jest oryginalna, a mapa wczytywana z folderu Maps.

(...)

Jednak nadal mapy w edytorze mi się nie wczytują, występuje ten sam błąd. Czy jest możliwe, żeby wirus zainfekował te mapy, których nie mogę otworzyć?

 

 

Powinieneś w końcu się pogodzić z tym, że to nie jest problem wirusów i zacząć szukać wady całkiem gdzie indziej. Zawieszanie / psucie dźwięku etc. = no ja tu widzę masę powodów patrząc tylko na same logi ze skołtunionymi programami zabezpieczającymi. Co do tych map to błąd ("Can't load *.h5m file (The file may be corrupted, file version unsupported or you are trying to load the map from outside folder [Game installation folder]/Maps folder).") sugeruje prędzej nieprawidłowe wersje map / złe pliki map nie pasujące do gry. Tu np. też ktoś ma taki problem KLIK. Czy Ty naprawdę sądzisz, że to "wirusy"?


Podsumowanie: zostałeś wpuszczony w maliny, analizujący nie umieją dostatecznie dużo by prowadzić tematy tego rodzaju, a mitomania wirusowa leci przez dwa tematy. Nic, powtarzam nic, nie wskazywało w temacie że winę za złe zachowanie systemu ponosi czynna infekcja. Żaden log tego nie potwierdza, żaden z wyników w skanerach nie mógł być też za to wszystko odpowiedzialny, jako że to nie ta kategoria obiektów.

 

 

 

Cytat

Aha, i te 39 rootkitów

 

Owe "rootkity" to czynności hookujące sterownika COMODO .... Jest to prawidłowe zachowanie i w żadnym wypadku nie jest to infekcja. Te czynności, jako niskopoziomowe, są oczywiście notowane w rootkit detekcji. Sterownik inspect.sys COMODO możesz sobie oglądnąć także w logu z GMER, to samo co pokazujesz na obrazku w GMER wygląda w ten sposób (to wyciąg z cudzego systemu, u Ciebie są pewne niuanse):

 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F71BA750] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F71BA820] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F71BA7F0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F71BA7B0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F71BA7B0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F71BA820] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F71BA750] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F71BA7F0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F71BA7F0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F71BA7B0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F71BA820] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F71BA750] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F71BA7B0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F71BA750] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F71BA820] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F71BA7F0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F71BA750] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F71BA820] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F71BA7B0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F71BA7F0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F71BA7B0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F71BA820] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F71BA750] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F71BA7B0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F71BA7F0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F71BA750] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F71BA820] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisRegisterProtocol] [F71BA7B0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisOpenAdapter] [F71BA820] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisDeregisterProtocol] [F71BA7F0] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisCloseAdapter] [F71BA750] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)

 

Dopóki jest zainstalowany COMODO w systemie, oczywiście to ma być nietknięte. A jeśli takie wyniki są na systemie po odinstalowaniu COMODO (odpadkowy sterownik), to wtedy ten sterownik usuwa się w prawidłowy sposób za pomocą menedżera urządzeń w sekcji Sterowników niezgodnych z Plug and Play + usunąć usługę z systemu.

 

Cytat

Ale jeszcze przed tym uciekłem się do takiego "podstępu", żeby naprawić system. (...) Ale powiem tak: system na początku zaskoczył mnie dużą ilością błędów. Okazało się, że programy od sterownika płyty głównej ASUS- czyli EPU engine, Turbo-V i Turbo-Key niestety zostały brutalnie "powstrzymane" przez system przed uruchomieniem, które to dotychczas uruchamiały się przy każdym starcie systemu bezbłędnie.

 

Naprawdę jesteś zaskoczony? Skutki Reperacji. Reperacja downgraduje nie tylko aktualizacje ale i sterowniki firm trzecich. Po Reperacji trzeba wszystko nadpisać od nowa. Po Reperacji mogą objawiać się też inne skutki uboczne, jako że system w sumie brutalnie jest cofany do wstecznych wersji plików. Tym bardziej, że robiłeś nieprawidłowy rodzaj Reperacji:

 

Cytat

Pozostał tylko Service Pack 2, nie wiem czy instalować 3 żeby znowu coś się nie zepsuło.

 

Reperację się wykonuje przy udziale płyty, która ma zgodny status SP. W raporcie OTLPE był SP3, czyli Reperacja powinna być wykonana za pomocą płyty XP SP3 a nie niżej. Jeśli użyjesz płyty o niższym stanie SP, wyniki Reperacji mogą być nieprzewidywalne i system może się dziwnie zachowywać. Widziałam już wiele takich tematów, gdzie Reperacja starszą płytą produkowała Windows-knot. Swoją drogą, Windows powinien jednak zareagować przy takiej próbie zgłaszając błąd, że wersja płyty jest za stara. Kolejna sprawa: Windows nie może zostać w stanie SP2. To jest zastraszająco niski poziom zabezpieczeń, a ponadto jesteś odcięty od aktualizacji. Microsoft nie dopuszcza już do autoaktualizacji systemów poniżej SP3.

 

Cytat

I w dodatku migają mi ikony na pulpicie tak jakby co 5 sekund się automatycznie odświeżały bez mojej wiedzy o.O.

 

Efekt ten sugeruje samozamykanie się powłoki explorer.exe. Wada explorer.exe możliwa po Reperacji wykonanej starszą płytą niż wyjściowy Windows.

 

Cytat

Podejrzewam jeszcze infekcję: Internet Explorer podczas aktualizacji do wersji 8 wykrył szkodliwe oprogramowanie

 

Komunikat tylko tyle mówi, że nie powiodło się sprawdzanie pod kątem złośliwego oprogramowania oraz nie udało się zainstalować łatki wymaganej, by instalacja była możliwa. Reperacja wyzerowała aktualizacje i zapewne należy uzupełnić wszystkie wymagane łaty zanim przystąpisz do instalacji IE8.

 

Cytat

Chciałem pobrać IE 8 za pomocą Internet Explorera (bo wtedy zapomniałem zrobić printscreenu) żeby powtórzyć bo może coś się nie powiodło ale było to samo. W dodatku musiałem ściągać z Mozilli, bo IE dziwnie się zachowywał. Jak wszedłem na stronę Microsoftu to po naciśnięciu "pobierz teraz" wyświetlił mi się komunikat, co raczej nie jest normalne. Tak samo jak próbowałem wyjść ze strony za pomocą przycisku "wstecz".

 

Ten błąd jest z powodu tego, że masz zamieszanie wersji IE po Reperacji, która brutalnie nadpisała IE8. Dla porównania temat z tym samym błędem: KLIK.

 

Cytat

Aha, przepraszam. Od niedawna przy uruchamianiu IE wyskakuje mi tylko "wyślij raport o błędach". No to chyba już jest jawny atak na IE.

 

Dla przykładu "jawny atak na IE": KLIK. Szkody zrobione Reperacją Windows, która cofa IE8 do IE6, skutkując przy tym po prostu uszkodzeniem tego komponentu. Ponadto "wyślij raport o błędach" to jest ogólne wskazanie błędu, co powoduje błąd należy dopiero zdebugować / zdiagnozować.

 

Wszystko co się dzieje teraz z IE na Twoim systemie to niestety skutek Reperacji, która nieprawidłowo cofnęła IE. IE jest teraz nie do użytku i musi być nadpisany, a z błędu instalacji wynika, że brakuje aktualizacji w systemie, która jest wymagana by móc zainstalować IE8.

 

Cytat

G Data nic nie znalazł, ale mogę przeskanować jeszcze Malwarebytes'em i innymi programami, zrobić parę logów do sprawdzenia, ewentualnie można spróbować Dr Webem.

 

Ja już wystawiłam diagnozę. Jeśli ma Cię to uspokoić, to sobie skanuj dla przyjemności, tylko ja przypuszczam, że wyników żadnych niestety nie osiągniesz w tej materii, bo podtrzymuję: nie uważam że problemem jest tu infekcja oceniając tematy od pierwszego na tamtym forum do tutejszego. I moim zdaniem ta "zaskakująca ilość błędów" po Reperacji to skutki błędnej Reperacji przy użyciu starszego XP niż ten który był zainstalowany. Oceniając zakres szkód poreperacyjnych proponuję jedno z dwóch:
- ponowić Reperację, ale tym razem w prawidłowy sposób za pomocą płyty ze zintegrowanym SP3: KLIK. W aktualnej sytuacji Reperacja stanie się także aktualizacją, ale niedostatecznie dużo (po SP3 wydanym w roku 2008 wyszła masa innych łat i tego nie dorobisz płytą XP SP3, tylko przez Windows Update musi się odbyć)
- lub w końcu założyć czysty Windows (żadnych kopii systemowych, żadnych Reperacji), tylko czysta instalacja od zera.

 

Obstaję za drugim scenariuszem, bo widzę co się tu dzieje, chaotyczne działania i w sumie status tego Windows po Reperacji jest niestety daleki od tego co rozumiemy pod pojęciem "czysty Windows". Naprawianie szkód powstałych po Reperacji (zdowngradowany IE i wszystkie aktualizacje / naruszone sterowniki) zajmie więcej czasu a wyniki i tak nie będą tożsame z czystą instalacją Windows i sprawność takiego Windows dyskusyjna.

 

Odnośnik do komentarza

Więc mówisz, że najlepsza czysta instalacja. No dobrze, ale co z tymi sterownikami które pozostały po Nortonie, Comodo, ArcaVir itp.? Same się usuną przy instalacji?

 

Swoją drogą, dzięki za wyprowadzenie z błędu- naprawdę nie wiem, co ja z tymi "infekcjami", poza tym "fachowcy" z PC Format z całym szacunkiem dla tego forum naprawdę nieźle namieszali, a na końcu okazało się, że więcej konkretnego zrobiłem od nich...

 

Jeżeli chodzi o pakiet zabezpieczający to G Data wystarczy czy lepiej jeszcze byłoby coś dodać?

 

O 12:00 podczas restartowania systemu po aktualizacji do SP3 pojawił mi się bluescreen z błędem STOP 0x0000008E (0xC0000005 0x8847EC78 0xA974BCE8 0x00000000). Widać, reinstalacja systemu nie cierpi zwłoki.

Odnośnik do komentarza
Cytat
No dobrze, ale co z tymi sterownikami które pozostały po Nortonie, Comodo, ArcaVir itp.? Same się usuną przy instalacji?

 

Ja mówię o tzw. "czystej instalacji" XP, to oznacza: format dysku z instalatora XP i instalacja XP. Jest to równoznaczne z całkowitym usunięciem wszystkich poprzednich śladów, więc o sterownikach po-programowych nie ma tu mowy.

Dlaczego Ci to proponuję: ze względu na rezultaty końcowe. Wprawdzie Reperacja zostawia ustawienia programów i inne personalizacje, ale aktualnie będziesz miał robotę, by "zreperować Reperację" i uzupełnić wszystko co wyniszczyła w systemie, co moim zdaniem się nie opłaca a i końcowy Windows jest w stanie dyskusyjnym.

Czyli propozycja jest taka: skopiować z tego systemu tylko najistotniejsze dane programów i nic więcej (nie backupuj komponentów samych programów czy Windows), zrobić nową CD XP ze zintegrowanym SP3, z tejże płytki porządnie założyć nowy Windows i szybko uzupełnić wszystkie brakujące aktualizacje wydane po roku 2008 (= data wydania SP3) oraz zainstalować najnowsze sterowniki producentów Twojego sprzętu a nie te które być może masz gdzieś na starych płytach (o ile to w ogóle możliwe / sterowniki są dostępne). A po tym starannie zainstalować wybrane programy.

 

 

Cytat
Jeżeli chodzi o pakiet zabezpieczający to G Data wystarczy czy lepiej jeszcze byłoby coś dodać?

 

Pakiet G DATA Internet Security 2011 widziany przeze mnie w OTLPE jest dostatecznym zabezpieczeniem. Nie wolno przesadzać.

 

Odnośnik do komentarza
Cytat
Podczas próby rozpakowania "SP3" wyskakuje mi błąd: D:\XPSP\SP3 nie jest prawidłową aplikacją systemu Win32. SP3 to oczywiście tematyczny SP.exe.

 

Czy na pewno pobrany instalator SP jest cały i zgadza się jego rozmiar? Błąd bowiem sugeruje, że plik jest źle pobrany.

 

Ponadto, zanim się rzucisz w instalację Windows skompletuj wszystkie sterowniki sprzętowe (chipset / grafika / dźwięk etc...), by się nie okazało post factum, że jest problem z ich znalezieniem ... . Pomocą do rozpoznania aktualnych komponentów sprzętowych może służyć HWiNFO32.

 

 

PS. A jeszcze jedna uwaga, która mi umknęła apropos tego: "Jedynie płyta główna (która już została wymieniona) zgłaszała pewne problemy". Czy w owym czasie po wymianie płyty głównej przeinstalowałeś Windows? To jest wymagane, by uzgodnić HAL sprzętowe na nowo, XP sam z siebie nie otrzeźwieje że zaszły zmiany. Wymiana takiego składnika jak mobo bez reinstalacji Windows może powodować dziwne zachowania systemu. To również mógł być jeden z licznych powodów dla zawieszeń.

 

Odnośnik do komentarza
Cytat
A mogę na tej płycie zamieścić od razu najnowsze sterowniki do mojego sprzętu czy muszę to zrobić na osobnej płycie?

 

To zależy w jaki sposób Ty chcesz je zamieścić:

1. Jeśli sterowniki mają być zintegrowane z płytą (co oznacza ich automatyczną instalację z płyty podczas instalacji XP), to jest to grubsza robota, gdyż samo zgranie instalatorów na tej samej płycie nie daje nic. Robić to ręcznie to czasochłonna procedura i pewnie nie uda się od razu stworzyć dobrej płytki nie mając żadnego doświadczenia w tym temacie. Robota w trybie automatycznym może być wykonana np. za pomocą narzędzia typu nLite. Jest wymagane, by sterowniki podane narzędziu były rozbite na czynniki pierwsze do INF i SYS (nie można wskazać po prostu instalatorów EXE).

2. Jeśli zaś masz na myśli same instalatory zgrane na płycie, to do tego osobna płytka lub pendrive.

 

Odnośnik do komentarza

No to nie będę kombinował i po prostu zamieszczę je na pendrive. Płytę wypalę dzisiaj, ale format dysku i instalację systemu może odłożę na jutro, bo dzisiaj jakoś nie chce mi się w to bawić.

Edytowane przez picasso
12.12.2011 - Wiele miesięcy upłynęło, brak dodatkowych komentarzy, zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...