romd1 Opublikowano 25 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2012 Witam. Mam problem zwiazany z tym, że po włączeniu komputera w momencie kiedy chce wpisać nazwe i hasło uzytkownika, komputer sie zawiesza tzn. obraz staje i nic nie można zrobić. Po kilku restartach komputera czasami udaję się zalogować, ale wtedy gdy chce wejsc w Mój Komputer to wyświetla się latarka i dopiero po ok. 2 minutach mogę otworzyć pliki na dysku. Kilka dni temu komputer się zawieszał i pokazywał się niebieski ekran. Logi: OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 25 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2012 A gdzie log z Gmer pod kątem rootkitów? To jest obowiązkowy log i należy go wykonać. Infekcja rootkit tutaj prawdopodobnie jest, świadczą o tym te wpisy: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) Na początek uruchom Kaspersky TDSSKiller i wykonaj nim skanowanie. Jeśli coś znajdzie nic nie usuwaj, przydziel na razie opcję Skip a tu wklej tylko raport. Odnośnik do komentarza
romd1 Opublikowano 25 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2012 logi tdsskiller1.txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 25 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2012 Według spodziewań jest tu aktywny rootkit co potwierdza Gmer: ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 625121283 Disk \Device\Harddisk0\DR0 PE file @ sector 625121305 Disk \Device\Harddisk0\DR0 MBRoot/Sinowal@MBR code has been found <-- ROOTKIT !!! 1. Uruchom Kasperskyego ponownie i tym razem dla wyniku Rootkit.Boot.Sinowal.b przydziel opcję Cure. Zachowaj raport z programu. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cx__l1.sys -- (cx__l1.sys) O3 - HKU\S-1-5-21-329068152-920026266-839522115-1003\..\Toolbar\WebBrowser: (no name) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "3389:TCP"=- "65533:TCP"=- "52344:TCP"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3389:TCP"=- "65533:TCP"=- "52344:TCP"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer i Kasperskyego. Odnośnik do komentarza
romd1 Opublikowano 26 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 26 Kwietnia 2012 zrobiełem tak jak napisałeś.przy skanowaniu Kaspersky wyskakuje lockedfile , service spdt suspicious objekt, medium risk : file oto logi: Extras.Txt olt.txt OTL1.Txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 26 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2012 To co ci teraz wykrywa Kaspersky jest nieistotne - wyniki do zignorowania. Rootkit usunięty i teraz pytanie do Ciebie czy problem zniknął? Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Na wszelki wypadek zmień sobie hasła logowania do serwisów w sieci. Odnośnik do komentarza
romd1 Opublikowano 27 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2012 Rootkit usunięty i teraz pytanie do Ciebie czy problem zniknął? juz lepiej dziala, ale po wlaczeniu komputera i po wejsciu do Moj Komputer początkowo jest tylko ta latarka,a dopiero po ok. 10 sekundach widze dostępne dyski. Co może być przyczyną? Odnośnik do komentarza
picasso Opublikowano 27 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2012 po wejsciu do Moj Komputer początkowo jest tylko ta latarka,a dopiero po ok. 10 sekundach widze dostępne dyski. Co może być przyczyną? Mogą być różne przyczyny dla tego zachowania. 1. Wpływ antywirusa. Przetestuj czy deaktywacja osłon ESET ma pozytywne skutki. 2. Wyszukiwanie urządzeń sieciowych. Wejdź do Opcje folderów > Widok > odznacz Automatycznie wyszukuj foldery sieciowe i drukarki. 3. Wadliwe rozszerzenie NameSpace dopisane do Mojego komputera. Dla porównania temat z forum: KLIK. Jeśli punkty 1+2 nie pomogą, Start > Uruchom > regedit i wyszukaj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\My Computer\NameSpace Z prawokliku wybierz opcję eksportu. Zapisany plik REG otwórz w Notatniku i przeklej tu zawartość do posta. . Odnośnik do komentarza
romd1 Opublikowano 29 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Kwietnia 2012 teraz wystepuje taki problem ze komputer sie czasami zawiesza, pokazuje sie niebieski ekran i jest napis: Wydaje się ze przyczyną problemu jest następujący plik ati2dvag. Co to moze byc? Odnośnik do komentarza
picasso Opublikowano 29 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2012 (edytowane) romd1 to już jest problem do innego działu. Plik ati2dvag = problem ze sterownikami graficznymi lub sprzętem. Edytowane 31 Maja 2012 przez picasso 31.05.2012 - Upłynął miesiąc, brak komentarzy, nakreślone problemy końcowe pasują do innego działu. Zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi