Restarty systemu po minucie od uruchomienia

[ediz4]

Witam

 

Mam poważny problem. Po uruchomieniu komputera po chwili na ekranie wyświetla się komunikat

 

"System windows napotkał problem krytyczny i zostanie ponownie uruchomiony w ciągu jednej minuty"

 

Skanowałem system antywirusem DrWeb z płyty. Znalazł zainfekowane pliki i je usunął ale problem pozostał nadal

 

W załączniki przesyłam standardowo log z otl

OTL.Txt

Extras.Txt

[picasso]

Skanowałem system antywirusem DrWeb z płyty. Znalazł zainfekowane pliki i je usunął ale problem pozostał nadal

 

Jakie infekcje? Lepiej to zaprezentuj, by ocenić czy to były sensowne / ważne wykrycia a nie jakieś mierne obiekty. Póki co, ani opis ani logi nie wskazują na infekcję. Ten "krytyczny błąd" może być równie dobrze z innej przyczyny.

 

Od kiedy to się stało? Co było ostatnią akcją przed wystąpieniem błędu? Jeśli da się to uściślić, to ja tu widzę w tym momencie F8 > opcja "Napraw komputer" > Przywracanie systemu do punktu sprzed usterki: KLIK.

 

 

 

.

[ediz4]

Niestety pamiętam tylko że był to wirus skryptowy . Zaraz spróbuje przywracanie sytemu

edit

Przywracanie systemu jest niestety wyłączone. To komputer siostry i nie mam informacji co działo się tuż przed wystapieniem błędu.

edit 2

zauważyłem błąd w podglądzie zdarzeń pokrywający się z pojawianiem komunikatu

 

Nazwa aplikacji powodującej błąd: taskeng.exe, wersja: 6.1.7600.16699, sygnatura czasowa: 0x4ccf7f10

Nazwa modułu powodującego błąd: apphelp.dll, wersja: 6.1.7600.16385, sygnatura czasowa: 0x4a5bdeac

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x0000000000001444

Identyfikator procesu powodującego błąd: 0x684

Godzina uruchomienia aplikacji powodującej błąd: 0x01ccb0f15188c532

Ścieżka aplikacji powodującej błąd: C:\windows\system32\taskeng.exe

Ścieżka modułu powodującego błąd: C:\windows\system32\apphelp.dll

Identyfikator raportu: 98605ce0-1ce4-11e1-a376-88ae1dd879ca

[picasso]

Mało tu danych, ale mimo wszystko trojan nie jest wykluczony. Na logach z OTL nie można polegać w 100%, to tylko określony wycinek z systemu. Ponadto, logi są z Trybu awaryjnego i też nie wszystko może wyjść na jaw w takim stadium. Jedyny ślad relatywny do owego zamykania po minucie, to te błędy w Dzienniku zdarzeń, figurują tu tylko pliki MS i nic szczególnego z tego nie wynika:

 

Error - 2011-11-17 16:36:14 | Computer Name = Sandra-Komputer | Source = Application Error | ID = 1000
Description = Nazwa aplikacji powodującej błąd: services.exe, wersja: 6.1.7600.16385,
 sygnatura czasowa: 0x4a5bc10e  Nazwa modułu powodującego błąd: apphelp.dll, wersja:
 6.1.7600.16385, sygnatura czasowa: 0x4a5bdeac  Kod wyjątku: 0xc0000005  Przesunięcie
 błędu: 0x0000000000001444  Identyfikator procesu powodującego błąd: 0x254  Godzina
uruchomienia aplikacji powodującej błąd: 0x01cca5682c1fcaf7  Ścieżka aplikacji powodującej
 błąd: C:\windows\system32\services.exe  Ścieżka modułu powodującego błąd: C:\windows\system32\apphelp.dll
Identyfikator
 raportu: ca6ed266-115b-11e1-928b-88ae1dd879ca
 
Error - 2011-11-17 16:47:03 | Computer Name = Sandra-Komputer | Source = Application Error | ID = 1000
Description = Nazwa aplikacji powodującej błąd: taskeng.exe, wersja: 6.1.7600.16699,
 sygnatura czasowa: 0x4ccf7f10  Nazwa modułu powodującego błąd: apphelp.dll, wersja:
 6.1.7600.16385, sygnatura czasowa: 0x4a5bdeac  Kod wyjątku: 0xc0000005  Przesunięcie
 błędu: 0x0000000000001444  Identyfikator procesu powodującego błąd: 0x560  Godzina
uruchomienia aplikacji powodującej błąd: 0x01cca56a076c7dc9  Ścieżka aplikacji powodującej
 błąd: C:\windows\system32\taskeng.exe  Ścieżka modułu powodującego błąd: C:\windows\system32\apphelp.dll
Identyfikator
 raportu: 4d183f89-115d-11e1-baf7-88ae1dd879ca

 

Problem nie istnieje w Trybie awaryjnym, czyli to normalny coś ładuje. Przy założeniu, że jest tu jakiś trojan, spróbuj drugiej płyty, czyli Kaspersky Rescue Disk. Raport ze skanu zapisz na dysku twardym (nie omyl się i nie zapisuj do pamięci płyty).

 

 

 

.

[ediz4]

Narzędzie nie chce się uruchomić w trybie graficznym. W trybie tekstowym nic nie znalazło. Raportu nie zapisałem bo nie widziałem w tym trybie takiej opcji .

[picasso]

Zrób test czy ma znaczenie połączenie sieciowe, może jest "coś" podpięte pod services.exe, co wykonuje łączenie z eterem po "instrukcje". Odepnij całkowicie sieć, tak by system nie miał żadnej możliwości połączenia się z netem, spróbuj zastartować do trybu normalnego i podaj rezultaty czy też następuje zamykanie po minucie.

 

Nawiasem mówiąc, system nie ma zainstalowanego Service Packa, co sugeruje, że jest na bakier i z innymi aktualizacjami krytycznymi.

 

 

 

.

[ediz4]

Po odpięciu sieci problem nie zniknął. Przepraszam że nie sprecyzowałem dokładnie ale komunikat pojawia się ok 2 min po starcie systemu.

 

edit

 

Zauważyłem że komputer restartuje sie również przy samym ekranie logowania jeżeli nie wykonam żadnych akcji przez kilka minut.

[picasso]

Moze zrób jeszcze skany za pomocą Kaspersky TDSSKiller + aswMBR. Jeśli Kaspersky cokolwiek wykryje, omiń opcją Skip i tylko raport do oceny przedstaw.

 

 

 

.

[ediz4]

Żaden z programów niczego nie wykrył

 

edit

Mogę spróbować wykonać skan z otl w trybie normalnym. Mam te 3minuty czasu zanim komputer się zrestartuje.

[picasso]

W Dzienniku zdarzeń na błędach figuruje wszędzie jako moduł przyczynowy apphelp.dll (Biblioteka klienta zgodności aplikacji). Pod tym kątem znalazłam coś ciekawego na blogu NirSoft: KLIK. Aczkolwiek tam jest odniesienie do lsass.exe, tu jest services.exe.

 

Posłuż się aplikacją AppCrashView do przetwarzania raportów WER, wyszukaj te pasujące do wyróżnionych tu błędów w Dzienniku (o ile będą) punktujące procesy services.exe + taskeng.exe, przedstaw log z załadowanymi modułami.

 

 

 

Zauważyłem że komputer restartuje sie również przy samym ekranie logowania jeżeli nie wykonam żadnych akcji przez kilka minut.

 

Przetestuj, czy zmienia postać rzeczy redukcja usług do zestawu firmowego MS. Start > w polu szukania wpisz msconfig > w karcie Usługi zaznacz "Ukryj wszystkie usługi firmy Microsoft" > następnie "Wyłącz wszystkie". Zresetuj system i podaj rezultaty.

 

 

 

.

[ediz4]

Po wyłączeniu usług firm trzecich problem zniknął. Głupio zrobiłem bo powinienem chyba wszystko robic po kolei.

W załączniku logi z AppCrashview. Nie wiem czy dobrze zrobiłem.

services.txt

task.txt

[picasso]

Temat przenoszę do Windows 7. Żadnego malware tu nie wykryliśmy.

 

 

Głupio zrobiłem bo powinienem chyba wszystko robic po kolei.

 

Bez sprzeciwu. Mamy przynajmniej wyniki. Wykreślam powyżej nie wykonaną instrukcję dostosowanego skanu w OTL w sytuacji zaistnienia nowych faktów, które niejako to anulują.

 

 

Po wyłączeniu usług firm trzecich problem zniknął. Głupio zrobiłem bo powinienem chyba wszystko robic po kolei.

 

Wnioski: w usługach wyłączonych jest delikwent i należy go wytypować. W OTL po odrzuceniu wszystkich z opisem MS (msconfig inaczej typuje serwisy wtórne niż OTL) zostają:

 

========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2011-09-06 22:45:28 | 000,044,768 | ---- | M] (AVAST Software) [Auto | Stopped] -- C:\Program Files\AVAST Software\Avast\AvastSvc.exe -- (avast! Antivirus)
SRV:64bit: - [2009-09-22 19:16:32 | 000,579,400 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Program Files\Lenovo\ReadyComm\ConnSvc.exe -- (Lenovo ReadyComm ConnSvc)
SRV:64bit: - [2009-08-14 15:22:48 | 000,509,192 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Program Files\Lenovo\ReadyComm\AppSvc.exe -- (Lenovo ReadyComm AppSvc)
SRV:64bit: - [2009-08-11 17:59:38 | 000,864,032 | ---- | M] (Broadcom Corporation.) [Auto | Stopped] -- C:\Program Files\Lenovo\Bluetooth Software\btwdins.exe -- (btwdins)
SRV - [2010-08-05 08:46:02 | 000,583,640 | ---- | M] (PC Tools) [Auto | Stopped] -- C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe -- (PCToolsSSDMonitorSvc)
SRV - [2010-03-03 21:16:06 | 000,013,336 | ---- | M] (Intel Corporation) [Auto | Stopped] -- C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) Intel®
SRV - [2009-12-09 09:48:26 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Stopped] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe -- (UNS) Intel®
SRV - [2009-12-09 09:48:24 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Stopped] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe -- (LMS) Intel®
SRV - [2009-07-14 15:27:26 | 000,038,152 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Program Files (x86)\Lenovo\ReadyComm\common\IGRS.exe -- (IGRS)

 

Porównując nowe dostarczone wyciągi z AppCrashView jedynym niefirmowym modułem załadowanym w stacku jest ... Avast. Konkretnie = moduł Monitora zachowań:

 

LoadedModule[0]=C:\windows\system32\taskeng.exe

LoadedModule[1]=C:\windows\SYSTEM32\ntdll.dll

LoadedModule[2]=C:\windows\system32\kernel32.dll

LoadedModule[3]=C:\windows\system32\KERNELBASE.dll

LoadedModule[4]=C:\Program Files\AVAST Software\Avast\snxhk64.dll

LoadedModule[5]=C:\windows\system32\USER32.dll

LoadedModule[6]=C:\windows\system32\GDI32.dll

LoadedModule[7]=C:\windows\system32\LPK.dll

LoadedModule[8]=C:\windows\system32\USP10.dll

LoadedModule[9]=C:\windows\system32\msvcrt.dll

LoadedModule[10]=C:\windows\system32\ole32.dll

LoadedModule[11]=C:\windows\system32\RPCRT4.dll

LoadedModule[12]=C:\windows\system32\OLEAUT32.dll

LoadedModule[13]=C:\windows\system32\ktmw32.dll

LoadedModule[14]=C:\windows\system32\wevtapi.dll

LoadedModule[15]=C:\windows\system32\IMM32.DLL

LoadedModule[16]=C:\windows\system32\MSCTF.dll

LoadedModule[17]=C:\windows\system32\CRYPTBASE.dll

LoadedModule[18]=C:\windows\SYSTEM32\sechost.dll

LoadedModule[19]=C:\windows\system32\ADVAPI32.dll

LoadedModule[20]=C:\windows\system32\CRYPTSP.dll

LoadedModule[21]=C:\windows\system32\rsaenh.dll

LoadedModule[22]=C:\windows\system32\SHLWAPI.dll

LoadedModule[23]=C:\windows\system32\SspiCli.dll

LoadedModule[24]=C:\windows\system32\RpcRtRemote.dll

LoadedModule[25]=C:\windows\system32\CLBCatQ.DLL

LoadedModule[26]=C:\Windows\system32\tschannel.dll

LoadedModule[27]=C:\windows\system32\XmlLite.dll

LoadedModule[28]=C:\windows\system32\apphelp.dll

 

Spróbuj zrobić co następuje: wejdź do Panelu sterowania do apletu deinstalacji programów > podświetl Avast > wywołaj deinstalację i wybierz do deinstalacji komponent Monitora zachowań > restart systemu. Po restarcie wróć do msconfig i przywróć wszystkie wyłączone uprzednio usługi. Restart systemu. Podaj rezultaty czy błąd powrócił.

 

 

 

.

[ediz4]

Po usunięciu avasta i włączenie usług problem powrócił

[picasso]

Usunąłeś całego Avasta czy tylko jeden jego komponent? Zacznij eliminację krok po kroku. Cofnij w msconfig do stanu wszystkich niedomyślnych wyłączonych + restart, następnie w msconfig z tych wyłączonych włączaj po jednym z grupy + restart, aż dokładnie stwierdzisz która aktywacja jest krytyczna.

[ediz4]

Usunąłem całego. Po wyłączeniu usługi GoogleUpdate (gupdate) problem zniknął.

[picasso]

A to ciekawe, Google Update? W życiu bym tego nie podejrzewała o tak poważny błąd.

 

W OTL nie było widać tej usługi, OTL na ustawieniu "Użyj filtrowania" niektóre usługi ukrywa.

 

 

 

.

[ediz4]

Co dziwne w msconfig usługa była jako zatrzymana.

 

edit

 

Wielkie dzięki za cały poświęcony czas.

Edytowane 6 Grudnia 2011 przez picasso
Temat wygląda na rozwiązany. Zamykam. //picasso