asasino Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 Witam forumowiczów, Mam problem z komputerem, podejrzewam że tkwi on w rejestrze systemu. Podczas uruchamiania systemu po pewnym czasie pokazuje się na sekundę "blue screen" i reset. Nie mam możliwości uruchomienia trybu awaryjnego. Bardzo mi zależy by przywrócić go do stanu sprzed awarii. Odnośnie blue screen'a to dzięki nagraniu z komórki i ustawieniu odpowiedniej klatki na kamerze odczytałem informacje z blue screena, niestety nie podany został żaden kod błędu. Tylko informacja że system został zamknięty w celu ochrony itp. i żeby sprawdzić sterowniki czy coś takiego... Próbowałem zatem odzyskać rejestr sprzed kilku dni kiedy działał prawidłowo. Za pomocą konsoli odzyskiwania zrobiłem backupy rejestru oraz skopiowałem z folderu repair nowe, uruchomiłem system i z katalogu System Volume Info. wybrałem pliki rejestru z okresu gdy działał komputer... i poprawiłem nazwy a następnie za pomocą konsoli umieściłem je w folderze docelowym rejestru systemu. Niestety znowu to samo... blue screen... próbowałem nawet z plikami rejestru ze starszych punktów przywracania, nawet z czerwca i to samo... raz spróbowałem podmienić tylko plik rejestru o nazwie SYSTEM z tego uszkodzonego na nowy a reszta pozostała niezmieniana... i system odpalił... byłoby wszystko ok tylko że wszystkie programy i sterowniki jakie były zainstalowane przedtem na tym rejestrze nie są zainstalowane... Mam możliwość podłączenia dysku pod inny komputer i w ten sposób robić zmiany na tym systemie uszkodzonym. Chciałbym z pomocą kogoś sprawdzić ten rejestr i go naprawić... tylko nie wiem jak wygenerować logi z tego pliku rejestru. Czy mógłby mi ktoś pomóc? Odnośnik do komentarza
picasso Opublikowano 13 Września 2011 Zgłoś Udostępnij Opublikowano 13 Września 2011 A jakiż jest powód dla zakładania tematu w dziale Diagnostyka malware - Centrum bezpieczeństwa » Dział pomocy doraźnej? Czy są jakiekolwiek znaki, że problem stanowi infekcja? Poproszę o wstępny wygląd systemu, czyli log z OTLPE. Odnośnik do komentarza
asasino Opublikowano 13 Września 2011 Autor Zgłoś Udostępnij Opublikowano 13 Września 2011 (edytowane) Kilka dni przed tym zdarzeniem skanowałem malwarebyte'm i wykrył mi spyeye'a Przepraszam jeśli jest to niewłaściwy dział, wydawało mi się że odpowiedni. Właśnie przeskanowałem OTLem. Oto log: OTLPE.txt Edytowane 14 Września 2011 przez picasso Posty połączone. Log przemieszczony w Załącznik. //picasso Odnośnik do komentarza
picasso Opublikowano 14 Września 2011 Zgłoś Udostępnij Opublikowano 14 Września 2011 W zasadach działu jest napisane: nie stosować tagu CODE dla logów. Logi podaje się w postaci Załączników. Koryguję prezentację.... kilka dni przed tym zdarzeniem skanowałem malwarebyte'm i wykrył mi spyeye'a Nie podałeś w czym, trudno to oceniać, ale dostarczony tu log wskazuje całkiem inną infekcję (tę która wyłącza Centrum zabezpieczeń): [2011/05/09 03:37:02 | 000,118,272 | RHS- | C] () -- C:\WINDOWS\System32\chcpr.dll[2011/09/12 17:56:52 | 000,000,298 | -HS- | M] () -- C:\WINDOWS\Tasks\VRPB.job Ta infekcja jednak nie prowadzi do BSOD. Poza tym, w logu mniej istotne śmietki, również nie mogą być przyczyną. Podczas uruchamiania systemu po pewnym czasie pokazuje się na sekundę "blue screen" i reset. Nie mam możliwości uruchomienia trybu awaryjnego. Uściślij: co to oznacza "Nie mam możliwości uruchomienia trybu awaryjnego"? Czy to znaczy, że F8 i wybranie tego trybu skutkuje tym samym co próba rozruchu w Normalnym? Czy to znaczy, że F8 w ogóle nie wchodzi? Próbowałem zatem odzyskać rejestr sprzed kilku dni kiedy działał prawidłowo. Za pomocą konsoli odzyskiwania zrobiłem backupy rejestru oraz skopiowałem z folderu repair nowe, uruchomiłem system i z katalogu System Volume Info. wybrałem pliki rejestru z okresu gdy działał komputer... i poprawiłem nazwy a następnie za pomocą konsoli umieściłem je w folderze docelowym rejestru systemu. Niestety znowu to samo... blue screen... próbowałem nawet z plikami rejestru ze starszych punktów przywracania, nawet z czerwca i to samo... raz spróbowałem podmienić tylko plik rejestru o nazwie SYSTEM z tego uszkodzonego na nowy a reszta pozostała niezmieniana... i system odpalił... byłoby wszystko ok tylko że wszystkie programy i sterowniki jakie były zainstalowane przedtem na tym rejestrze nie są zainstalowane... Rozumiem, że chodzi o kopię pliku SYSTEM z Repair. No jeśli wszystkie kopie z System Volume Information nie chwytają, a ta w Repair tak, to zdaj sobie sprawę, że to może być najprostsza droga do rozwiązania usterki. Plik rejestru SYSTEM jest potężny i jego szczegółowa analiza to nie tylko czasochłonna sprawa, ale może to być też bezowocne. A ten feler: "byłoby wszystko ok tylko że wszystkie programy i sterowniki jakie były zainstalowane przedtem na tym rejestrze nie są zainstalowane" = wystarczy nadinstalować programy nakładkowo. Póki co, tu w logu nie widać infekcji która może wygenerować BSOD, a najsilniejsze wtórne sterowniki (ładowane perzez gałąź SYSTEM), które to zawsze są brane pod uwagę, to ... GData. Poproszę o kolejne dane: 1. Z poziomu OTLPE otwórz plik C:\boot.ini i przeklej mi jego zawartość. 2. Przekopiuj całą zawartość C:\Windows\system32\config, zapakuj do ZIP, shostuj na serwisie speedyshare.com i dostarcz do analizy. To potrwa długo. . Odnośnik do komentarza
asasino Opublikowano 14 Września 2011 Autor Zgłoś Udostępnij Opublikowano 14 Września 2011 Przepraszam że umieściłem to w CODE, będę pamiętał. brak możliwości uruchomienia Trybu awaryjnego - chodzi tu oto że podczas wczytywania systemu w trybie awaryjnym w pewnym momencie wczytywania komputer resetuje się. Jak mogę zainstalować je nakładkowo? Zaraz wrzucę boot ini oraz config config boot.txt Odnośnik do komentarza
asasino Opublikowano 14 Września 2011 Autor Zgłoś Udostępnij Opublikowano 14 Września 2011 Udało mi się odczytać kod BSOD *** STOP: 0x000000BE (0x806E4800,0x006E4121,0xB84C3784 ,0x000000B) Może to pomoże Odnośnik do komentarza
picasso Opublikowano 15 Września 2011 Zgłoś Udostępnij Opublikowano 15 Września 2011 Rejestru do końca jeszcze nie przejrzałam (jak mówiłam, to czasochłonne), ale póki co (sprawdzałam krytyczne sterowniki), niestety nic wyraźnego nie widać i czarno widzę wykrycie usterki. A może być jeszcze i tak, że zasugerowałeś tu kierunek, który nie jest stanem faktycznym. Np. jest tu możliwe, że to wcale nie rejestr jest problemem, tylko pliki na dysku ładowane przez ten rejestr (uszkodzone / zainfekowane / zaktualizowane do nowej problematycznej wersji...). Dla wyjaśnienia koncepcji załóżmy, że są to sterowniki niedomyślne, które zostały wprowadzone w system zaraz po instalacji Windows, a to znaczy że prawie każda replika pliku SYSTEM (z wyjątkiem tej w Repair i może kilku pierwszych punktów po instalce) ma odwołania do tego sterownika. Jeśli coś się stanie z takim sterownikiem, wszystkie kopie SYSTEM wołające ten driver dadzą BSOD, z wyjątkiem kopii fabrycznej w Repair. Powiedziałeś coś znaczącego, co się nie sprzecza z tym, czyli że pliki rejestru sprzed usterki dają te same objawy: z katalogu System Volume Info. wybrałem pliki rejestru z okresu gdy działał komputer... i poprawiłem nazwy a następnie za pomocą konsoli umieściłem je w folderze docelowym rejestru systemu. Niestety znowu to samo... blue screen... próbowałem nawet z plikami rejestru ze starszych punktów przywracania, nawet z czerwca i to samo... To mocno sugeruje, że problemem nie jest rejestr per se, w końcu te izolowane kopie powstały przed problemem i nie podlegały "edycji". Przy założeniu, że nie rąbnąłeś się przy podmianach. Na wszelki wypadek pokaż mi spis całego katalogu SVI, co tam w zasadzie jest i jakie parametry mają pliki. Z poziomu OTLPE uruchom OTL, wszystkie opcje ustaw na None, zaś w polu Custom Scans/Fixes wklej: DIR /S /A "C:\System Volume Information" /C Klik w Scan. Przedstaw wynikowy log. Udało mi się odczytać kod BSOD*** STOP: 0x000000BE (0x806E4800,0x006E4121,0xB84C3784 ,0x000000B) 0x000000BE = ATTEMPTED_WRITE_TO_READONLY_MEMORY. Czy tam pod spodem nie pojawia się żadna nazwa pliku? Wątpię, czy ten szybki BSOD z samoresetem nagrał się do zrzutów pamięci, ale sprawdź co jest w katalogu C:\Windows\Minidump. Jeśli są tam jakiekolwiek pliki datowane na czasokres usterki, zapakuj do ZIP i shostuj do wglądu. Jeśli tylko starocie lub katalog pusty, to diagnostyka tego rodzaju oczywiście odpada. Ponadto, skoro jest tu przynajmniej jedna infekcja wykryta, to się zastanawiam czy nie ma jakieś rootkita w systemie. Na wszelki wypadek przeskanuj cały dysk za pomocą Kaspersky Rescue Disk. Jeśli cokolwiek wykryje, stwórz raport i zapisz go na dysku twardym C:\. . Odnośnik do komentarza
asasino Opublikowano 15 Września 2011 Autor Zgłoś Udostępnij Opublikowano 15 Września 2011 (edytowane) Ta teza jest bardzo logiczna i bardzo prawdopodobnym jest że właśnie problem nie tkwi w rejestrze tylko w plikach. Niestety nie mogłem dłużej czekać postanowiłem oddać komputer do serwisu. Bardzo mi przykro że zadałem Pani tyle pracy... jestem bardzo wdzięczny za pomoc. Mam nadzieję że jeszcze pewnego razu gdy znów pojawi się jakiś problem i zostanie rozwiązany na forum, będę mógł wesprzeć jego działalność . Tymczasem czekam na efekt pracy serwisu i jeśli poznam od nich przyczyne to x pewnością umieszczę na forum rozwiązanie. A ten BSOD to chyba fałszywy trop gdyż zauważyłem że pojawił się on gdyż przez przypadek wyciągania dysku odpiął mi się kabel SATA łączący napęd DVD z płytą główną. A w minidump niestety jak była tak jest i teraz - pustka Edytowane 30 Października 2011 przez picasso 30.10.2011 - Upłynął miesiąc, nie komentujesz wyników z serwisu, temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi