Windows XP nie startuje

[atasuke]

Witam

Problem mam mianowicie taki dzisiaj rano uruchamiam komputer ,i o dziwo nie działa Windows zatrzymuje się na ekranie który wyświetla informacje o możliwości uruchomienia albo w trybie awaryjnym ,trybie awaryjnym z możliwością wiersza poleceń itp.

Komputer stacjonarny,nie wiem jak było z aktualizacjami oraz zabezpieczeniami bo to komputer brata.

Nie mam możliwości zrobienia logów.

Zauważyłem że jak wybiorę polecenie uruchom normalnie to ekran robi się czarny wyskakuje niebieski ekran ale nie jestem w stanie przeczytać tam informacji bo następuje restart.

Jeżeli będą potrzebne jakieś informacje to zaraz je udzielę.

[picasso]

Windows XP nie startuje (...) Nie mam możliwości zrobienia logów.

 

Do takich przypadków służy OTLPE.

[atasuke]

Udało mi się zamontować to wspaniałe narzędzie

Oraz wykonać log OTLP oto wyniki loga.

 

Teraz przyszedł brat z pracy i powiedział mi że wczoraj za nim wyłączył komputer avast wyświetlił mu informacje znaleziono wirusa jakiegoś" smack ass" coś w ten deseń o ile czegoś nie przekręcił

[picasso]

Niestety do działu Malware zmierzamy i nie wiadomo czy system wstanie. Z 25 lipca ostatnie ślady czynności w systemie to utworzenie obiektów infekcji, czyli podróbka "Flash Player" jako usługa + services32.exe jako alternatywny interfejs dla powłoki Trybu awaryjnego. Co więcej, są tu komponenty wirusa Sality (który masakruje wszystkie wykonywalne na wszystkich dyskach), czyli sterownik Sality abp470n5 ("not found" to pozory, Sality ładuje się "posektorowo") + przez zaporę przechodził plik z genem Sality + są charakterystyczne dla tego wirusa polisy. Dodatkowo, plik boot.ini jest oznaczony jako modyfikowany tego samego dnia co w/w i nie wiadomo jaka tam zawartość siedzi:

 

[2011/07/25 14:44:45 | 000,000,249 | ---- | M] () -- C:\boot.ini

 

1. W Notatniku zamontuj wstępny skrypt do OTLPE o zawartości:

 

:OTL
DRV - File not found [Kernel | On_Demand] --  -- (abp470n5)
SRV - [2011/07/25 14:44:17 | 001,185,280 | ---- | M] () [Auto] -- C:\Documents and Settings\Ewelina\Moje dokumenty\Pobieranie\Flash-Player.exe -- (wxpdrivers)
O7 - HKU\Ewelina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Ewelina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
[2011/07/25 14:44:39 | 001,185,280 | ---- | C] () -- C:\WINDOWS\services32.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"L:\rjbq.pif"=-
 
:Commands
[emptyflash]
[emptytemp]

Plik zapisz pod nazwą FIX.TXT i udostępnij dla płyty OTLPE. Z poziomu płyty OTLPE uruchom OTL i wybierz Run Fix, a na pytanie o plik skryptu wskaż FIX.TXT. Wynikowy log z usuwania zachowaj do wglądu.

 

2. Przeskanuj wszystkie dyski za pomocą płyty Kaspersky Rescue Disk. Zapisz raport co usuwał bądź leczył.

 

3. Sprawdź czy system startuje. Niezależnie od tego czy tak/nie, zrób nowy skan z OTL (jeśli system nie startuje to via OTLPE, jeśli zastartuje via normalny OTL) ale na warunku dostosowanym. W sekcji Custom Scans/Fixes | Własne opcje skanowania / skrypt wklej co podane niżej i klik w Scan | Skanuj.

 

safebootminimal

safebootnetwork
netsvcs
C:\*.*
D:\*.*
E:\*.*
type C:\boot.ini /C

Dostarcz też wynik przetwarzania skryptu z punktu 1 oraz raport zagrożeń z Kasperskiego z punktu 2.

 

 

 

.

[atasuke]

Wykonuje punkt pierwszy wkleiłem skrypt jak kazałaś ale po wklejeniu skryptu otl nic nie robi nie wiem czy to normalne nie zawiesił się ale nic się nie dzieje.

 

EDIT : Nie doprecyzowałem chodziło mi o utworzenie pliku fix.txt i za ładowanie przez Fixrun nic tak jak w normalnym OTL nie robiłem

[picasso]

Poczekaj jeszcze trochę. Jeśli OTL nie będzie wykazywał żadnych znaków życia przez długie minuty, a linie skryptu na dole nie zaczną znikać, przerwij działania i przejdź do punktu 2.

 

EDIT: jeszcze się upewnię, "wkleiłem" oznacza Run Fix + wskazanie pliku FIX.TXT czy wklejenie w oknie dolnym zawartości skryptu i brak jakiejkolwiek akcji?

[atasuke]

Punkt 1 : Niewykonany brak reakcji dlatego pominąłem.

 

Punkt 2

Przeskanowałem Kasperskim wszystkie dyski :

oto raport z Kasperskiego:

http://www.wklej.org/id/567598/

 

Punkt 3:

System normalnie nie odpalił loga wykonywałem przez OTPL z płyty:

Zamieszczam log z skanowania z parametrami:

http://www.wklej.org/id/567596/

[picasso]

Ten raport z Kasperskiego jakiś dziwny, jakby skombinowany z OTL i ucięty. Porządnie wklejaj raz jeszcze. Na razie tylko tyle wiem, że Sality tu na pewno grasuje, bo punkty Przywracania systemu noszą zainfekowane pliki źródłowe.

 

 

1. Plik boot.ini został sprytnie przekonfigurowany (to musi być robota malware), by wymusić start systemu w Trybie awaryjnym z alternatywną powłoką (która jest aktualnie równa plikowi malware a nie cmd.exe). Dodatkowo: skoro tu jest wykryta obecność Sality, który to kasuje cały Tryb awaryjny, to nie jestem pewna czy klucz awaryjnego jest dostatecznie pełny (może mieć tylko zapisy dodane przez drugie malware), a wtedy oczywiście widziany tu zapis BOOT.INI powoduje niemożność startu.

 

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff /fastdetect /safeboot:minimal(alternateshell)

Z poziomu płyty OTLPE otwórz w Notatniku plik BOOT.INI i wymaż końcówkę /safeboot:minimal(alternateshell), zapisując rzecz jasna zmiany w pliku.

 

2. Powtórka usuwania w OTLPE. Przeklej do Notatnika poniższy skrypt i zapisz jako plik. Plik ten udostępnij środowisku OTLPE. Z poziomu zastartowanego OTLPE uruchom OTL, następnie otwórz ten plik tekstowy i przeklej z niego zawartość wprost do okna Custom Scans/Fixes i klik w Run Fix.

 

:OTL
DRV - File not found [Kernel | On_Demand] --  -- (abp470n5)
SRV - [2011/07/25 14:44:17 | 001,185,280 | ---- | M] () [Auto] -- C:\Documents and Settings\Ewelina\Moje dokumenty\Pobieranie\Flash-Player.exe -- (wxpdrivers)
SafeBootMin: wxpdrivers - C:\Documents and Settings\Ewelina\Moje dokumenty\Pobieranie\Flash-Player.exe () 
SafeBootNet: wxpdrivers - C:\Documents and Settings\Ewelina\Moje dokumenty\Pobieranie\Flash-Player.exe ()
[2011/07/25 14:44:17 | 001,185,280 | ---- | M] () -- C:\WINDOWS\services32.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKU\Ewelina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Ewelina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
IE - HKU\Anna_ON_C\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
IE - HKU\Ewelina_ON_C\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"L:\rjbq.pif"=-
 
:Commands
[emptyflash]
[emptytemp]

3. Próba startu Windows...... Jeśli się uda, natychmiast użyj SalityKiller, a następnie plik pasujący do XP z paczki Sality_RegKeys.

 

4. Nowe logi do wglądu.

 

 

 

.

[atasuke]

Na razie sprawa utknęła w martwym punkcie ponieważ nie wiem jakim cudem nie mogę za bootować płyty z OTLP.

Nie wiem czym to może być: Zaczyna czytać płytę po czym załaduje ten pierwszy napis z co wychodzi i ekran staje się czarny.

Wypaliłem płytę jeszcze raz i to samo się dzieje. Sprawdzałem też czy bootoje windows i kasperskiego i to samo.

Czy to może być cd-rom czy coś innego spadło na ten komputer bo już gorzej być nie może.

[picasso]

Na razie sprawa utknęła w martwym punkcie ponieważ nie wiem jakim cudem nie mogę za bootować płyty z OTLP.

Nie wiem czym to może być: Zaczyna czytać płytę po czym załaduje ten pierwszy napis z co wychodzi i ekran staje się czarny.

 

"Sprawdzałem też czy bootoje windows i kasperskiego i to samo." = czyli Kaspersky Rescue Disk też nie bootuje?

 

Czy jest tu możliwość zbootować pendrive? OTLPE czy Kasperskiego (występujące jako gotowce ISO) da się przerobić na USB, tylko istotnym jest czy tu boot z USB jest technicznie wykonalny?

 

 

 

.

[atasuke]

tak jest taka możliwość

I oczywiście jak przygotować takiego pendriva a o cześć techniczną myśle że da rade

[picasso]

1. Pobrany na samym początku OTLPE w postaci EXE rozbij za pomocą 7-zip, tak by pozyskać ze środka plik ISO. Plik ten przemianuj na pebuilder.iso. Zmiana nazwy ma służyć oszukaniu kreatora.

2. Pobierz kreator SARDU (interfejs narzędzia wygląda teraz ciut inaczej niż w opisie, nie miałam czasu dostosować).

3. Podstaw SARDU prawidłowo dwa pliki ISO, OTLPE + Kasperskiego. Program powinien wykryć i automatycznie zaznaczyć te dwa projekty (patrz w karty Windows i Antivirus). I wybierasz jako formę docelową bootowalny USB.

4. W BIOS upewnij się, że USB może bootować i jest pierwszym urządzeniem w kolejce i wio....

 

Opisywaną tu operację z OTLPE podstawionym w SARDU w/w metodą pomyślnie wykonywałam nie tak dawno dla cudzego lapka firmowo bez CD-ROM, w ogóle niebootującego z powodu malware, które podmieniło plik ntfs.sys.

 

 

 

.

[atasuke]

Udało mi się zastartować i wykonać punkt 1 i 2 zaleceń.

Teraz będę próbował odpalać system,udało się system odpalił przechodzę do punktu 3 czyli sality killer oh yes !!

Sality kiler przeskanował wszystkie dyski,ale czy miał wypluć jakiegoś loga

[picasso]

Skrypt w OTLPE prawidłowo się wykonał. Oczekuję więc na dalsze wyniki.

 

 

Sality kiler przeskanował wszystkie dyski,ale czy miał wypluć jakiegoś loga

 

Domyślnie nie tworzy loga. By takowy powstał, narzędzie musiałoby być poinstruowane przez przełącznik z linii komend. Istotnym dla mnie jest: czy widziałeś w oknie, że czymś się zajmuje + czy ponowne uruchomienie na pewno zwraca zero wykrytych zainfekowanych plików? Nie można pozostawić ani jednego zarażonego pliku Sality na dysku, bo sprawa się rozkręci na nowo. Ciągle też nie mam pojęcia ile zdołał przetworzyć Kaspersky Rescue Disk we wcześniejszym podejściu, gdyż raport jest zdekompletowany.

 

 

 

 

.

[atasuke]

Dokładam logi z ostatniego punktu:

OTL:

http://www.wklej.org/id/567779/

EXTRAS:

http://www.wklej.org/id/567781/

 

A co do salitykiller to widziałem tylko jedną jedynkę na końcu loga coś w rejestrze.Cały czas nad czymś pracował

Za puszcze jeszcze raz sality i zobaczę czy wszędzie będą zera

 

Sprawdziłem jeszcze raz jest czysty Salitykiller nic nie wykrył wszystkie pliki są czyste.

[picasso]

Logi wyglądają obiecująco, nie ma tu ani jednego wpisu malware dla mnie widocznego, a skoro SalityKiller nic już nie mówi, to wygląda na koniec drogi cierniowej. Mniemam, że przypilnowałeś naprawy / weryfikacji czy działa Tryb awaryjny.

 

1. Drobnica sponsoringowa. Do deinstalacji WinAmp Toolbar + ręczne usunięcie tych powielonych na wszystkich kontach folderów po "gościu" w PDF Creatorze:

 

[2009-04-02 20:01:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Anna\Dane aplikacji\pdfforge
[2009-04-02 20:01:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Anna\Dane aplikacji\Search Settings
[2009-04-04 20:15:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ewelina\Dane aplikacji\pdfforge
[2009-04-04 20:15:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ewelina\Dane aplikacji\Search Settings
[2009-04-02 18:58:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\komp\Dane aplikacji\pdfforge
[2009-04-02 18:58:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\komp\Dane aplikacji\Search Settings

2. Typowe akcje likwidacyjne: Sprzątanie w OTL + usunięcie katalogu wygenerowanego przez Kaspersky Rescue Disk C:\Kaspersky Rescue Disk 10.0.

 

3. Czyszczenie folderów Przywracania systemu: INSTRUKCJE.

 

4. W związku z wykrytą obecnością wirusa Sality, który zapewne wszedł z zainfekowanego nośnika USB (wnioski wyciągam po autoryzacji widzianej wcześniej w zaporze systemowej, wskazującej na dalszą literkę L: nośnika), warto zabezpieczyć system opcją Computer Vaccination wyegzekwowaną w Panda USB Vaccine.

 

5. I należy się zabrać za nadrobienie tego defektu:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

Obowiązkowa instalacja bazy: Service Pack 3 + Internet Explorer 8. Po uzupełnieniu podstaw odwiedziny Windows Update i wszystkie krytyczne łatki do nadrobienia.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.5
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ffdshow_is1" = ffdshow [rev 2815] [2009-03-25]
"Google Chrome" = Google Chrome
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
"Mozilla Thunderbird (3.1.10)" = Mozilla Thunderbird (3.1.10)
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

Te softy też do aktualizacji. Nie widzę tu precyzyjnie wersji Adobe Flash + Google Chrome, zweryfikuj status.

 

 

 

.

[atasuke]

Uruchomiłem ponownie komputer ale nie chce się uruchomić WINDOWS stoi na Ekranie "Trwa uruchamianie Windows"

Udało się wejść do trybu awaryjnego.

[picasso]

Co było wykonane bezpośrednio przed restartem? Poza tym, czy wchodzi Tryb awaryjny?

[atasuke]

Bezpośrednio przed restartem zeskanowałem go salitykiller zacząłem jeszcze sprzątać usunąłem fddshow, google chrome po czym zrestartowałem komputer i doszedł tylko do tego ekranu co wspominałem wyżej.

 

Da się wejść do trybu awaryjnego

[picasso]

Sprawdź czy usunięcie Avast coś pomoże, skoro awaryjny startuje, a Avast to najwybitniejsza widziana w raporcie różnica między tymi dwoma trybami.

[atasuke]

Ruszył z kopyta że aż miło po odinstalowaniu Avasta.

[picasso]

Rozważ wstawienie darmowego antywirusa Panda Cloud Antivirus. Działa w technice chmury (czyli wymaga aktywnego połączenia z internetem, choć ma i awaryjny tryb pracy lokalnej).

 

Czyli rozumiem, że kłopoty z głowy, a Ty pracujesz nad finałowym kształtem aktualizacyjnym?

[atasuke]

Tak, jak na razie pracuje nad efektem końcowym. Wypełniając po kolei polecenia które zaleciłaś mi w jednym z powyższych postów.

Dziękuję za pomoc

 

Ps A tyle razu mu tłukłem do głowy jak potrzebne są aktualizacje i sprawnie działający antywir to się śmiał, dobrze że tak to się skończyło bo mogło być gorzej. Ale jak to mówią "Każdy jest kowalem swojego losu tylko nie którzy dostają więcej po głowie".

 

Pojawił się problem w czasie instalacji SP3, nie może zainstalować ponieważ wystąpił wewnętrzny błąd.

Instalowałem z z linku którego mi zalinkowałaś wyżej. Wywala przy sprawdzaniu klucz.

Udało się zainstalowałem SP3 ,po prostu uruchomiłem go z tej płyty ale wybrałem bezpośrednio sam plik SP3 omijając tłuszcz którym był ten plik opakowany.

Wszystkie aktualizacje zainstalowałem zgodnie z procedurą , Widze że komputer nabrał energii i chęci do życia.

Jeszcze raz dziękuję za wszystko co dla mnie zrobiłaś.

[picasso]

Pojawił się problem w czasie instalacji SP3, nie może zainstalować ponieważ wystąpił wewnętrzny błąd.

 

Komentarz pro forma: ów "błąd wewnętrzny" był na forum i podawałam stosowny artykuł MS (KLIK).

 

Wszystko rozwiązane, temat zamykam.

 

 

 

.