hubert Opublikowano 14 Czerwca 2010 Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 Witam. Laptop Dell Latitude D510, WinXP SP3. System stojący już dobre 3 lata i nagle wyskoczył błąd. Laptop jest szkolny, z projektu wyposażającego pracownie informatyczne bodajże z 2005roku. Podczas wykonywania logowania do systemu, na konto administratora bądź innego użytkownika, po zalogowaniu wywala BŁĄD APLIKACJI USERINIT.EXE. Poszukałem, poczytałem i zgodnie ze wskazówkami odnalezionymi w sieci podmieniłem z konsoli odzyskiwania systemu tenże plik. Restart i dalej to samo. Za 31 razem udało mi się odpalić tryb awaryjny. NOD32 skaner on-line = czysto. Ad-Aware= czysto. Kaspersky OnLine = czysto. W ostatnim czasie nie było instalowane żadne dodatkowe oprogramowanie, nie były aktualizowane sterowniki. Tylko WindowsUpdate standardowo. Niestety nie było żadnego antywirusa, ponieważ skończyła się licencja i dopiero wczoraj została zakupiony nowa. Mógłbym teoretycznie zrobić format, reinstalacja itd, ale na laptopie jest zainstalowane dużo programów, porozrzucane po dysku bazy danych do tych programów, miliony zdjęć i dokumentów... Załączam niezbędne logi. Dziękuję za pomoc Extras.Txt gmer.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 14 Czerwca 2010 Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 W logach nie widać śladu aktywnej infekcji. Tylko szczątek do skorygowania po infekcji z mediów przenośnych: O33 - MountPoints2\{c4366d70-5879-11db-ad6f-001422c341b2}\Shell\AutoRun\command - "" = E:\9rfpp.exe -- File not found O33 - MountPoints2\{c4366d70-5879-11db-ad6f-001422c341b2}\Shell\open\Command - "" = E:\9rfpp.exe -- File not found To jednak później. Stoi tutaj folder kwarantanny ComboFixa co świadczy o jego uruchamianiu a nic o tym nie wspominasz. Wejdź do folderu C:\Qoobox i szukaj pliku ComboFix-quarantined-files.txt. Jeśli go odnajdziesz przeklej tu jego zawartość. Poszukałem, poczytałem i zgodnie ze wskazówkami odnalezionymi w sieci podmieniłem z konsoli odzyskiwania systemu tenże plik. Pytanie czy podmieniałeś go w wersji zgodnej z twoim systemem a więc XP Service Pack 3 bo to jest istotne. Jeśli plik był w innej wersji to tak zostać nie może. Odnośnik do komentarza
hubert Opublikowano 14 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 Racja, ComboFix również był, ale to nie ja go używałem, tylko jeden z nauczycieli sugerujący się właśnie jednym z "profesjonalnych" portali. Plik USERINIT.EXE podmieniłem za pomocą konsoli z płyty instalacyjnej dodanej do laptopa <płyta od DELLA, system gotowy>. Załączam logi z ComboFixa ComboFix-quarantined-files.txt ComboFix.txt Odnośnik do komentarza
Landuss Opublikowano 14 Czerwca 2010 Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 Nie jestem przekonany czy plik jest podmieniony we właściwej wersji. Raczej tak nie jest więc zrobisz to jeszcze raz. 1. Pobierz userinit.exe w wersji do XP SP3: KLIK 2. Plik wymień za pomocą konsoli tak jak robiłeś poprzednio ale do dwóch lokalizacji: C:\windows\system32\dllcache C:\windows\system32 Następnie daj znać jaki efekt i czy problem z błędem nadal występuje. Odnośnik do komentarza
hubert Opublikowano 14 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 Plik podmieniłem i dalej dokładnie to samo. Ponownie wszedłem do konsoli i usunąłem te pliki po czym wrzuciłem jeszcze raz- bez efektu. Po normalnym uruchomieniu systemu w normalnym trybie chciałem włączyć Menedżer urządzeń ale zaraz wyskakuje błąd: TASKMGR.EXE. - nie można znaleźć składnika. Uruchomienie tej aplikacji nie powiodło się ponieważ nie znaleziono VDMDBG.dll I tak za każdym razem... Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2010 Zgłoś Udostępnij Opublikowano 15 Czerwca 2010 Po normalnym uruchomieniu systemu w normalnym trybie chciałem włączyć Menedżer urządzeń ale zaraz wyskakuje błąd: TASKMGR.EXE. - nie można znaleźć składnika. Uruchomienie tej aplikacji nie powiodło się ponieważ nie znaleziono VDMDBG.dll 1. Jedno z trzech: brak tej biblioteki, jest ona uszkodzona, Kaspersky ją "zbanował". Próbnie wyciągnij z płyty CD XP plik VDMDBG.DLL i wstaw do dwóch katalogów i w takiej oto kolejności (zaczynając od lokalizacji Ochrony plików Windows): C:\WINDOWS\system32\dllcache + C:\WINDOWS\system32. 2. Problem z userinit może być z tej samej kolekcji. Niestety nie było żadnego antywirusa, ponieważ skończyła się licencja i dopiero wczoraj została zakupiony nowa. Czy na pewno ten KAV 6.0 (stary) to jest to co się pojawiło już po wystąpieniu problemu? . Odnośnik do komentarza
hubert Opublikowano 15 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2010 picasso zrobiłem tak jak poradziłaś i dalej dokładnie ten sam błąd. Niby na logikę biorąc jeśli plik userinit.exe jest uszkodzony to po jego podmianie powinny byc jakieś efekty. Niestety tak się nie dzieje. Plik VDMDBG.DLL również podmieniłem i efekt dokładnie taki jak na początku. Zastanawiam się jeszcze nad jednym rozwiązaniem- bo co forum to inne opinie. Czy jeśli wykonam ponowną instalację na tym istniejącym systemie, tzn nadpiszę folder windows, to czy programy, dokumenty, bazy będą funkcjonować dalej? Wiem, że rejestr systemu Windows ulegnie zniszczeniu i zastąpieniu czystym i pustym. Czy foldery pokroju My Documents pozostaną ?? Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2010 Zgłoś Udostępnij Opublikowano 16 Czerwca 2010 1. Jaką techniką zamieniałeś plik? Pokaż mi spis kopii pliku VDMDBG.DLL. Uruchom SystemLook, w oknie wklej poniższy tekst, kliknij w Look i czekaj na raport. :filefindVDMDBG.DLL 2. Jeśli rzecz o nadpisaniu Windows, to zależy w jaki sposób będzie to zrobione. Moduł Reperacja dostępny z normalnego instalatora Windows XP umożliwia nadpisanie bezstratne Windows i nie wybija wcale zer w rejestrze (wszystkie konta / programy / pliki użytkownika są nienaruszone). Uruchomienie "Nowej instalacji" prowadzi do jednego z dwóch: albo wyzerowanie całego Windows, albo stworzenie duplikatu systemu. Tylko tu jest problem, płyta OEM, która ma inny system niż normalne płyty: z płyty instalacyjnej dodanej do laptopa . Nie pamiętam już jak wyglądają opcje po starcie z takiej płyty, ale jeśli mówisz, że "system gotowy" = tzn. nie ma tu żadnego instalatora tylko obraz systemu, a opcje płyty to pewnie zrzucenie obrazu = zastąpienie całej zawartości dysku w sposób destrukcyjny. Jakie opcje w menu widzidzisz bootując z tej płyty Dell? . Odnośnik do komentarza
hubert Opublikowano 16 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2010 (edytowane) Dziękuję za odpowiedź. Jednak Windows nigdy nie przestanie mnie zadziwiać...Pierwszą rzeczą jaką chciałem zrobić kiedy dostałem tego laptopa, było użycie Narzędzia Do Przywracania Systemu. Po uruchomieniu go z trybu awaryjnego, okazało się że nie ma żadnych punktów odzyskiwania, ponieważ została ta opcja wyłączona. Teraz, bez żadnej nadziei a w sumie z braku pomysłu znowu włączyłem to narzędzie i nagle okazało się, że średnio co 2 dni były robione punkty przywracania, ale nie przez Windowsa tylko przez jakiś program do defragmentacji dysku (już teraz nie pamiętam jaki). Jakie było moje zaskoczenie, gdy przywróciłem stan z początku czerwca i wszystko zachulało jak ta lala Picasso jeśli chodzi o ten plik VDMDBG.DLL to najpierw w konsoli odzyskiwania systemu wpisałem 1. del c:\WINDOWS\system32\dllcache\vdmdbg.dll 2. del C:\WINDOWS\system32\vdmdbg.dll 3. expand d:\i386\vdmdbg.dl_ c:\WINDOWS\system32\dllcache\ 4. expand d:\i386\vdmdbg.dl_ c:\WINDOWS\system32\ Później sprawdziłem, czy weksportowane pliki na pewno tam są i czy mają dzisiejszą datę. Wszystko się zgadzało. Po prawidłowym uruchomieniu wywaliłem Kaspersky, wszystkie OTL, ComboFixy, HijackThis i inne wspomagacze. Zainstalowałem Comodo Antivirus, Firewall. Użyłem Spybota który nic już nie wykrył. Przeczyściłem całe msconfig. No i w nocy zdałem laptopa jako zrobionego. Uprzedziłem jednak, żeby zrobili sobie kopie wszystkich danych jakie tam są bo przydałoby się przeinstalować cały system. Niemożebny syf tam jest i niewykluczone, że wkrótce znowu coś się skaszani. Landuss, Picasso dziękuję bardzo za pomoc. Edytowane 16 Czerwca 2010 przez picasso W obliczu takiego wyniku temat jako rozwiązany + nieinfekcyjny zamykam i przenoszę do działu XP. Odnośnik do komentarza
Rekomendowane odpowiedzi