Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Niestartujący Windows XP

Hipnotyzer

Przez Hipnotyzer
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Hipnotyzer

Hipnotyzer

Opublikowano
Opublikowano

Witam. Proszę o pomoc z laptopem, na którym jest zainstalowany Windows XP. Chciałbym na wstępie zaznaczyć, że nie jest to mój komputer i staram się pomóc właścicielowi. Zakładam temat w tym dziale, bo tutaj znajduje się temat z instrukcjami do niestartujących Windowsów. Całą sytuację opiszę w punktach:

 

  • Do mniej więcej 20 lipca na komputerze był zainstalowany darmowy antywirus AVG. Antywirus przestał działać i przez kilka dni na komputerze nie działał żaden antywirus. Właściciel komputera odinstalował go przy pomocy programu do odinstalowania, który jest udostępniony przez AVG. Następnie zainstalował darmową wersję Avasta (20 lipca).
  • Avast bardzo szybko wykrył w systemie rootkit Alureon, z którym jednak nie mógł sobie poradzić. Został wtedy użyty TDSS Killer Kasperskiego, który znalazł infekcję i naprawił ją. Później Avast nie znalazł żadnych innych infekcji na komputerze. Raport z działania TDSS Killera zamieszczam w załącznikach.
  • 30 lipca na komputer były ściągane wykłady Davida Deutscha - widać je w raporcie OTL. Były ściągane ze strony, która jest w domenie Hewlett-Packard. O ile wiem, komputer został pozostawiony sam sobie, gdy ściągał pliki .wmv z tej strony. Później okazało się, że zawiesił się "na twardo" - bez możliwości uruchomienia menadżera zadań itp. Po wyłączeniu przez przytrzymanie przycisku zasilania został włączony kolejnego dnia - i wtedy wystąpił problem. Strona z której ściągano pliki: hxxp://www.hpl.hp.com/breweb/quiprocone/Protected/DD_lectures.htm
  • Po włączeniu komputer pokazuje zwykły ekran biosa płyty głównej a potem pojawia się czarny ekran a komputer nie wydaje się przetwarzać czegokolwiek. To samo dzieje się po próbie uruchomienia w trybie awaryjnym.
  • Przy użyciu LiveCD z tematu o niestartujących Windowsach wykonałem skan OTL (zaznaczyłem opcję Extra Registry) - pliki w załącznikach. Uruchomiłem jeszcze komputer z płyty Hiren's BootCD i uruchomiłem chkdsk - nie znalazł jednak żadnych błędów i plików w bad sectors zarówno na partycji z systemem, jak i na partycji z większością danych.

Moja wiedza na temat naprawiania takich rzeczy jest zerowa, więc ograniczyłem się do skanów i narzędzia chkdsk. Avast - z tego co wiem - był cały czas aktualny. Po usunięciu Alureona uznałem, na podstawie informacji, że ten rootkit kasuje "konkurencyjne" oprogramowanie, że jeżeli Avast niczego nie znajduje to jest już bezpiecznie. Nie potrafię stwierdzić, czy to jest przypadek z zawieszeniem się po ściągnięciu wykładów, efekt działania wirusów, czy też problem w plikach wykładów (to jednak wydaje mi się mało prawdopodobne; wszystko jest w domenie HP i raczej wiele osób już z niej ściągało pliki).

 

Wielkim udogodnieniem dla mnie byłaby możliwość używania do naprawy programów z płyty OTLPE Standard albo Hiren's BootCD ver. 14.

Proszę o pomoc i mam nadzieję, że przestawiłem wszystko tak jak trzeba.

OTL.Txt

Extras.Txt

TDSSKiller.2.5.11.0_20.07.2011_12.45.52_log.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Na temat raportów: brak śladów infekcji ładowanej w sposób czynny. Ale są:

- Ślady podpinania zainfekowanych urządzeń USB, w postaci mapowania MountPoints2.

- Avast skombinowany z AVG. Jeśli rzeczywiście użyto tu AVG Remover ze strony producenta, to nie wykonał zadania w 100%.

- (niekorzystna) modyfikacja pliku HOSTS poczyniona Spybotem

Te rzeczy nie powinny mieć żadnego wpływu na widzianą tu usterkę, ale od razu z poziomu OTLPE to wszystko skoryguj. Otwórz Notatnik i wklej w nim:

 

:OTL
SRV - File not found [Auto] --  -- (JavaQuickStarterService)
SRV - File not found [Auto] --  -- (avgwd)
SRV - File not found [Auto] --  -- (AVGIDSAgent)
SRV - File not found [Auto] --  -- (avg8wd)
DRV - [2011/07/20 20:54:03 | 000,135,032 | ---- | M] () [File_System | Boot] -- C:\WINDOWS\system32\drivers\dwprot.sys -- (DwProt)
DRV - [2011/04/14 15:28:42 | 000,134,480 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AVGIDSDriver.sys -- (AVGIDSDriver)
DRV - [2011/04/04 18:59:56 | 000,297,168 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgtdix.sys -- (AvgTdiX)
DRV - [2011/03/16 10:03:20 | 000,032,592 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot] -- C:\WINDOWS\system32\drivers\avgrkx86.sys -- (Avgrkx86)
DRV - [2011/03/01 08:25:18 | 000,034,896 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | System] -- C:\WINDOWS\system32\drivers\avgmfx86.sys -- (AvgMfx86)
DRV - [2011/02/22 02:13:02 | 000,022,992 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\AVGIDSEH.sys -- (AVGIDSEH)
DRV - [2011/02/10 01:53:54 | 000,027,216 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AVGIDSShim.sys -- (AVGIDSShim)
DRV - [2011/02/10 01:53:52 | 000,024,144 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AVGIDSFilter.sys -- (AVGIDSFilter)
DRV - [2011/01/07 00:41:46 | 000,248,656 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgldx86.sys -- (AvgLdx86)
FF - prefs.js..extensions.enabledItems: {3f963a5b-e555-4543-90e2-c3908898db71}:10.0.0.1178
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{3f963a5b-e555-4543-90e2-c3908898db71}: C:\Program Files\AVG\AVG10\Firefox\
O2 - BHO: (FG2CatchUrl) - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} -  File not found
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} -  File not found
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O33 - MountPoints2\{02c8fbd8-dfc1-11df-af23-0022faabe19a}\Shell\AutoRun\command - "" = q9.cmd
O33 - MountPoints2\{02c8fbd8-dfc1-11df-af23-0022faabe19a}\Shell\open\Command - "" = q9.cmd
O33 - MountPoints2\{522ded64-8347-11df-aefb-0022faabe19a}\Shell\AutoRun\command - "" = G:\SEDAMNOCI\\\kadsepoveze.exe
O33 - MountPoints2\{522ded64-8347-11df-aefb-0022faabe19a}\Shell\explore\command - "" = G:\SEDAMNOCI\\\kadsepoveze.exe
O33 - MountPoints2\{522ded64-8347-11df-aefb-0022faabe19a}\Shell\Install\command - "" = G:\SEDAMNOCI\\\kadsepoveze.exe
O33 - MountPoints2\{522ded64-8347-11df-aefb-0022faabe19a}\Shell\open\command - "" = G:\SEDAMNOCI\\\kadsepoveze.exe
O33 - MountPoints2\{65b3ff88-5a18-11e0-af6a-0022faabe19a}\Shell - "" = AutoRun
O33 - MountPoints2\{65b3ff88-5a18-11e0-af6a-0022faabe19a}\Shell\AutoRun\command - "" = F:\MicroLauncher.exe
O33 - MountPoints2\{74f44e66-da95-11de-ae94-0022faabe19a}\Shell\AutoRun\command - "" = F:\tgt.exe
O33 - MountPoints2\{74f44e66-da95-11de-ae94-0022faabe19a}\Shell\open\Command - "" = F:\tgt.exe
O33 - MountPoints2\{f395beaf-41c4-11e0-af64-0022faabe19a}\Shell\AutoRun\command - "" = F:\iskusna//bajinacura.exe
O33 - MountPoints2\{f395beaf-41c4-11e0-af64-0022faabe19a}\Shell\Explore\command - "" = F:\iskusna//bajinacura.exe
O33 - MountPoints2\{f395beaf-41c4-11e0-af64-0022faabe19a}\Shell\Open\command - "" = F:\iskusna//bajinacura.exe
O33 - MountPoints2\{f395beb0-41c4-11e0-af64-0022faabe19a}\Shell\AutoRun\command - "" = F:\myfolder\myfile.exe
O33 - MountPoints2\{f395beb0-41c4-11e0-af64-0022faabe19a}\Shell\open\command - "" = F:\myfolder\myfile.exe
O34 - HKLM BootExecute: (C:\PROGRA~1\AVG\AVG10\avgchsvx.exe /sync) -  File not found
O34 - HKLM BootExecute: (C:\PROGRA~1\AVG\AVG10\avgrsx.exe /sync /restart) -  File not found
[2011/07/06 03:00:20 | 121,155,382 | ---- | M] () -- C:\WINDOWS\System32\drivers\AVG\incavi.avm
[2011/02/11 21:05:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\KRAWIETZ\Dane aplikacji\AVG10
[2011/03/29 23:07:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVG10
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

Plik zapisz pod nazwą FIX.TXT i udostępnij go dla płyty OTLPE. Następnie w OTLPE uruchom OTL, klik w Run Fix a na pytanie o plik skryptu wskaż FIX.TXT.

 

 

Po włączeniu komputer pokazuje zwykły ekran biosa płyty głównej a potem pojawia się czarny ekran a komputer nie wydaje się przetwarzać czegokolwiek. To samo dzieje się po próbie uruchomienia w trybie awaryjnym. (...)

Uruchomiłem jeszcze komputer z płyty Hiren's BootCD i uruchomiłem chkdsk - nie znalazł jednak żadnych błędów i plików w bad sectors zarówno na partycji z systemem, jak i na partycji z większością danych.

 

Spróbuj naprawy MBR. Na Pulpicie płyty OTLPE jest narzędzie MbrFix. Uruchom je i w linii komend wklep:

 

MbrFix /drive 0 fixmbr /yes

 

 

.

Odnośnik do komentarza
Hipnotyzer

Hipnotyzer

Opublikowano
  • Autor
Opublikowano

O ile wiem, pomimo zastosowania instrukcji skrypt nie zadziałał. Właściciel komputera dał radę przywrócić rejestr sprzed awarii i dzięki temu Windows ruszył normalnie.

Jednocześnie właściciel postanowił w praktyce reinstalować system, więc temat jest już do zamknięcia.

 

Dziękuję za odpowiedź i przepraszam za czas stracony na napisanie skryptu i przeanalizowanie problemu.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...