Tadzio Opublikowano 15 Maja 2012 Zgłoś Udostępnij Opublikowano 15 Maja 2012 Witam. Od pewnego czasu mam kłopoty z bluescreenem. Zwłaszcza podczas gry online. Poza tym problemy z zainstalowaniem niektórych aplikacji, występuje wtedy taki komunikat jak na załączonym screenie. Długie otwieranie i zamykanie systemu. Bardzo proszę o sprawdzenie załączonych logów oraz odpowiedź czy da radę uratować ten system. Przymierzam się do reinstalacji, ale ze względu na pewne ważne dla mnie programy zainstalowane na komputerze, a których ponownie nie będę mógł zainstalować wstrzymuję się z tym. Jakiś miesiąc temu użyłem też Combofix`a. System Windows XP Home Edition + Service Pack 3. OTL Extras Gmer Proszę wybaczyć jezeli coś nie tak zrobiłem, to moje pierwsze działanie pod tym kątem. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 15 Maja 2012 Zgłoś Udostępnij Opublikowano 15 Maja 2012 Temat przemieszcza się do działu Windows XP, pod innym tytułem, bo "sprawdzanie logów" woła o pomstę do nieba. Nie notuję żadnych oznak infekcji w stanie czynnym. Tylko szczątkowy śmietnik adware, ale to ma minimalne znaczenie. Cytat Jakiś miesiąc temu użyłem też Combofix'a Rozwiń Jak sądzę już przeczytałeś co oznacza użycie ComboFix. I go nie odinstalowałeś prawidłowo. Zdowodowana obecność składników ComboFix. Cytat Przymierzam się do reinstalacji, ale ze względu na pewne ważne dla mnie programy zainstalowane na komputerze, a których ponownie nie będę mógł zainstalować wstrzymuję się z tym. Rozwiń Są ślady, że robiłeś tu już reperację nakładkową. Co do programów: o które chodzi? Cytat Od pewnego czasu mam kłopoty z bluescreenem. Zwłaszcza podczas gry online. Rozwiń Wykonaj diagnostykę nakreśloną w punkcie 5 ogłoszenia: KLIK. Cytat Poza tym problemy z zainstalowaniem niektórych aplikacji, występuje wtedy taki komunikat jak na załączonym screenie. Rozwiń Przeprowadź operacje rozpisane w artykule: KB324516. Nie jest wykluczony też wpływ oprogramowania zabezpieczającego. Cytat Długie otwieranie i zamykanie systemu. Rozwiń Pod kątem zamykania systemu: na obrazkach z Dziennika zdarzeń są rekordy zdarzeń ze źródłem Userenv, zapewne punktujące niemożność poprawnego odładowania rejestru przy zamykaniu systemu. Pierwsza liga podejrzanych: oprogramowanie zabezpieczające. Przy tym typie aplikacji narzędzie korekcyjne User Hive Profile CleanUp Microsoftu raczej nie zdziała nic, zwykle kończy się sprawa deinstalacją antywirusa i podobnych. - Widzę dość rozbudowany arsenał: PC Tools Firewall Plus, Avira, Zemana, Mamutu, SUPERAntiSpyware. No jeszcze Immunet, ale jego usługa ma status wyłączony. - Poza tym, do przetestowania tzw. "czysty rozruch": KB310353. Co jeszcze widzę: 1. Ślady jakiejś świeżej (de)instalacji Symantec, przy czym brak wejścia na liście zainstalowanych, ale nadal w systemie chodzą sterowniki Symantec: DRV - [2012-05-14 14:09:49 | 001,576,312 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_19.1.1.3\Definitions\VirusDefs\20120513.007\navex15.sys -- (NAVEX15) DRV - [2012-05-14 14:09:49 | 000,374,392 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl) DRV - [2012-05-14 14:09:49 | 000,086,136 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_19.1.1.3\Definitions\VirusDefs\20120513.007\naveng.sys -- (NAVENG) DRV - [2012-05-14 13:57:36 | 000,127,096 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS -- (SymEvent) DRV - [2012-05-11 10:44:46 | 000,356,792 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_19.1.1.3\Definitions\IPSDefs\20120511.001\IDSXpx86.sys -- (IDSxpx86) DRV - [2012-05-07 19:28:52 | 000,821,880 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_19.1.1.3\Definitions\BASHDefs\20120507.001\BHDrvx86.sys -- (BHDrvx86) DRV - [2011-08-08 17:38:12 | 000,132,744 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\NAV\1301010.003\ccSetx86.sys -- (ccSet_NAV) DRV - [2011-08-02 20:22:10 | 000,566,904 | R--- | M] (Symantec Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NAV\1301010.003\srtsp.sys -- (SRTSP) DRV - [2011-08-02 20:22:10 | 000,031,864 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\NAV\1301010.003\srtspx.sys -- (SRTSPX) Symantec Real Time Storage Protection (PEL) DRV - [2011-07-28 21:20:02 | 000,897,656 | R--- | M] (Symantec Corporation) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\NAV\1301010.003\SymEFA.sys -- (SymEFA) DRV - [2011-07-25 20:18:40 | 000,387,192 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\NAV\1301010.003\symtdi.sys -- (SYMTDI) DRV - [2011-07-25 20:18:36 | 000,340,088 | R--- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\NAV\1301010.003\SymDS.sys -- (SymDS) DRV - [2011-07-25 20:15:52 | 000,149,624 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\NAV\1301010.003\Ironx86.sys -- (SymIRON) Uprzątnij to narzędziem Norton Removal Tool. 2. Różne odpadki usługowe po COMODO / Ad-aware i innych, skutkujące błędami uruchomienia w Dzienniku zdarzeń: Error - 2012-05-15 04:11:21 | Computer Name = TAJNA-B55CA8735 | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi CoLinuxDriver z powodu następującego błędu: %%3 Error - 2012-05-15 04:11:21 | Computer Name = TAJNA-B55CA8735 | Source = Service Control Manager | ID = 7026 Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: BHDrvx86 cmdGuard cmdHlp Inspect Lbd sptd Rozpraw się z tym, podobnie jak i innymi szczątkowymi wpisami / katalogami po skanerach i resztkami adware, za pomocą instrukcji w spoilerze. Pokaż ukrytą zawartość 1. Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych urządzeń. Przejdź do sekcji "Sterowniki niezgodne z Plug and Play" i wyszukaj szczątki programów zabezpieczających COMODO / Ad-aware i co tam jeszcze wykryjesz. Odinstaluj i restart systemu. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Disabled | Stopped] -- -- (cmdAgent) SRV - File not found [Disabled | Stopped] -- -- (CLPSLS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\6D.tmp -- (MEMSWEEP2) DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd) DRV - File not found [Kernel | Boot | Stopped] -- System32\DRIVERS\inspect.sys -- (Inspect) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\alf\USTAWI~1\Temp\cpuz131\cpuz_x32.sys -- (cpuz131) DRV - File not found [Kernel | Auto | Stopped] -- G:\Portable_Ubuntu\linux.sys -- (CoLinuxDriver) DRV - File not found [Kernel | System | Stopped] -- System32\DRIVERS\cmdhlp.sys -- (cmdHlp) DRV - File not found [File_System | System | Stopped] -- System32\DRIVERS\cmdguard.sys -- (cmdGuard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\alf\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - [2010-09-05 11:02:33 | 000,122,104 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\dwprot.sys -- (DwProt) DRV - [2010-05-27 11:33:58 | 000,095,024 | ---- | M] (Sunbelt Software) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SBREDrv.sys -- (SBRE) DRV - [2011-03-09 15:46:19 | 000,054,624 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\a146.sys -- (a146) FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: File not found FF - HKCU\Software\MozillaPlugins\@facebook.com/FBPlugin,version=1.0.3: File not found FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: File not found FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: File not found FF - HKCU\Software\MozillaPlugins\vitzo.com/VDownloader: File not found O3 - HKU\S-1-5-21-343818398-1957994488-725345543-1004\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O8 - Extra context menu item: &Download All using 4shared Desktop - Reg Error: Value error. File not found O8 - Extra context menu item: Free YouTube Download - Reg Error: Value error. File not found O8 - Extra context menu item: Read By Natural Voice Reader - Reg Error: Value error. File not found O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Reg Error: Key error.)" O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Reg Error: Key error.)" [2012-05-10 00:45:44 | 000,000,000 | ---D | C] -- C:\Program Files\Ashampoo_PO [2012-05-10 08:52:24 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Documents and Settings\alf\Dane aplikacji\Mozilla\Firefox\Profiles\3rm1hjaa.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2012-04-24 15:16:52 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2011-12-10 10:19:06 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml [2011-08-18 08:27:12 | 003,486,088 | ---- | C] (Ask) -- C:\Program Files\Common Files\ApnToolbarInstaller.exe [2011-08-18 08:27:12 | 000,143,240 | ---- | C] (Ask.com) -- C:\Program Files\Common Files\ApnStub.exe [2012-05-14 21:48:58 | 000,000,000 | ---D | C] -- C:\Program Files\SDHelper (Spybot - Search & Destroy) [2012-04-18 17:29:15 | 000,000,000 | ---D | C] -- C:\Program Files\TeaTimer (Spybot - Search & Destroy) [2012-04-18 17:29:14 | 000,000,000 | ---D | C] -- C:\Program Files\Misc. Support Library (Spybot - Search & Destroy) [2012-04-18 17:29:12 | 000,000,000 | ---D | C] -- C:\Program Files\File Scanner Library (Spybot - Search & Destroy) [2012-05-14 19:51:30 | 000,000,000 | ---D | C] -- C:\Documents and Settings\alf\Ustawienia lokalne\Dane aplikacji\NPE [2011-08-06 17:23:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\alf\Dane aplikacji\ArcaBit [2012-04-17 17:06:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\alf\Dane aplikacji\ArcaVirMicroScan [2010-09-12 13:51:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\alf\Dane aplikacji\Babylon [2011-12-27 20:17:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\alf\Dane aplikacji\ESET [2011-11-16 00:03:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\alf\Dane aplikacji\OpenCandy [2010-07-19 18:38:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\alf\Dane aplikacji\ProgSense [2010-09-12 13:51:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2010-09-02 15:15:05 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Dane aplikacji\System Restore [2010-09-27 16:08:16 | 000,000,032 | ---- | C] () -- C:\WINDOWS\rblky.sys [2010-08-02 22:07:42 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\asdict.dat [2010-08-02 22:07:42 | 000,000,004 | ---- | C] () -- C:\WINDOWS\System32\aspdict-en.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\wsbl.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\phar_unmip.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\phar_histprot.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ph_white.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ph_summ.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ph_black.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pcwords2.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pcwords.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_webproxy.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_video.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_tabloids.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_socialnetworks.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_searchengines.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_regionaltlds.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_pornography.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_onlineshop.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_onlinepay.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_onlinedating.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_news.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_im.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_illegal.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_hate.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_games.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_gambling.dat [2010-08-01 13:49:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\pc_drugs.dat [2010-07-31 14:19:25 | 000,146,865 | ---- | C] () -- C:\WINDOWS\System32\drivers\sfi.dat [2010-11-15 19:22:47 | 000,033,492 | ---- | C] () -- C:\WINDOWS\System32\epfwdata.bin :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{43E0ABCF-633F-9F71-3FF4-2CE889B57751}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{51CE7FBF-19A0-4be6-BE54-C40E35CF9D6B}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{63A08FCF-B396-467A-A51A-0735236E472A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B7B664DF-3AF9-4C8E-8148-F42BB7831D27}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DCB9ACFC-C7E6-4BFE-9F6E-A53FF8102439}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zresetowany. Pojawi się log z wynikami usuwania. 3. Wykorzystaj AdwCleaner z opcji Delete. 3. Przewijający się błąd: Error - 2012-05-14 17:07:42 | Computer Name = TAJNA-B55CA8735 | Source = VSS | ID = 8193 Description = Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury CoCreateInstance. hr = 0x80070422. Start > Uruchom > services.msc, na liście wyszukaj usługę Kopiowanie woluminów w tle, z dwukliku wejdź do Właściwości i sprawdź Typ uruchomienia. Jeśli jest Wyłączony, przestaw na Ręczny. Odnośnik do komentarza
Tadzio Opublikowano 15 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2012 1. Chodzi mi o programy z witryny Giveawayoftheday, które przważnie instaluje się tylko raz.Nie wszystkie, ale większość tak.A są one mi bardzo potrzebne w pracy. 2. Usunąłem wszystkie pliki, pozostałości po Combofixie. 3. Cytat Widzę dość rozbudowany arsenał: PC Tools Firewall Plus, Avira, Zemana, Mamutu, SUPERAntiSpyware Rozwiń SUPERAntiSpy chyba mam na żądanie, ale skoro twierdzisz, że ten ostatni działa to go zaraz usunę. Odinstalowany Revo Uninstallerem. Mamutu był w usługach, działał, chociaż mam tylko folder Mamutu z pustym Logs. Zatrzymałem. Folder usunąłem. Punkt 5. wykonany, pełny zrzut pamięci, plik Minidump jest z dwoma zapisami. 4. Co do operacji nakładkowej, to raczej nie, chyba, że chodzi o chkdsk przez kliknięcie na "R" podczas rozruchu z płyty instalacyjnej. 5. Resztą zaraz się zajmę. Dziękuję i pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 15 Maja 2012 Zgłoś Udostępnij Opublikowano 15 Maja 2012 Cytat Wydaje mi się,że tylko Zemana AntiLogger, PC Tools i Avira są w użyciu. SUPERAntiSpy chyba mam na żądanie, ale skoro twierdzisz, że ten ostatni działa to go zaraz usunę. Mamutu nie mogę znaleźć, jest tylko folder z pustym Logs. Rozwiń W tle aktywnie działają (status "Running") usługa Mamutu i sterowniki SUPERAntispyware: ========== Processes (SafeList) ========== PRC - [2011-07-08 12:01:00 | 002,978,720 | ---- | M] (Emsi Software GmbH) -- C:\Program Files\Mamutu\a2service.exe ========== Win32 Services (SafeList) ========== SRV - [2011-07-08 12:01:00 | 002,978,720 | ---- | M] (Emsi Software GmbH) [Auto | Running] -- C:\Program Files\Mamutu\a2service.exe -- (Mamutu) ========== Driver Services (SafeList) ========== DRV - [2010-05-10 20:41:30 | 000,067,656 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL) DRV - [2010-02-17 20:25:48 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Program Files\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV) Twierdzisz, że Mamutu jest tu w szczątkach. Załatw tę usługę np. usuwając ją przy udziale Autoruns (karta Services), a po tym wykończ folder Mamutu z dysku. Cytat Co mam zrobić aby usunąc pozostałości Combofix`a? Rozwiń Pobierz ponownie (KLIK) na Pulpit i w Start > Uruchom > wklej komendę: "C:\Documents and Settings\alf\Pulpit\Combofix.exe" /uninstall Cytat Co do operacji nakładkowej, to raczej nie, chyba, że chodzi o chkdsk przez kliknięcie na "R" podczas rozruchu z płyty instalacyjnej. Rozwiń Nie wygląda to na checkdisk z poziomu Konsoli Odzyskiwania. Operacja nie tworzy tego: [2012-05-11 11:57:28 | 000,000,000 | ---D | C] -- C:\$WIN_NT$.~BT [2012-05-11 11:57:49 | 000,452,589 | R--- | C] () -- C:\txtsetup.sif [2012-05-11 11:57:49 | 000,262,400 | R--- | C] () -- C:\$LDR$ Tu był uruchamiany instalator Windows, ale w inny sposób niż wejście do Konsoli Odzyskiwania przez R. Nastąpiła ekstrakcja plików z instalatora. Skoro nie reperowałeś Windows, musiało się tu dziać coś innego. Odnośnik do komentarza
Tadzio Opublikowano 15 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2012 Po kolei Skrypt wykonany: Log Cytat 1. Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych urządzeń. Przejdź do sekcji "Sterowniki niezgodne z Plug and Play" i wyszukaj szczątki programów zabezpieczających COMODO / Ad-aware i co tam jeszcze wykryjesz. Odinstaluj i restart systemu. Rozwiń Wykonane, było 5 pozycji. Cytat Start > Uruchom > services.msc, na liście wyszukaj usługę Kopiowanie woluminów w tle, z dwukliku wejdź do Właściwości i sprawdź Typ uruchomienia. Jeśli jest Wyłączony, przestaw na Ręczny. Rozwiń Tak było ustawione. Cytat Twierdzisz, że Mamutu jest tu w szczątkach. Załatw tę usługę np. usuwając ją przy udziale Autoruns (karta Services), a po tym wykończ folder Mamutu z dysku. Rozwiń Był tylko Mamutu, Delete. Combofix odinstalowany Pomimo starań Instalator Windows Zatrzymany, nie mogę go włączyć. Cytat Nie wygląda to na checkdisk z poziomu Konsoli Odzyskiwania. Operacja nie tworzy tego: Rozwiń Chyba jednak była próba, potem, o ile się nie mylę usunąłem bootowanie tego instalatora systemu. Cytat Uprzątnij to narzędziem Norton Removal Tool. Rozwiń Coś tam mignęło przez chwilę i cisza.. Czy mam jeszcze jakieś dodatkowe czynności wykonać? Pozdrawiam. 23:24 - Skanuję w tej chwili Avira Free Antivirus i wykrył mi dwa trojany TR/Crypt.ULPM.Gen. Skanowanie trwa. Odnośnik do komentarza
picasso Opublikowano 15 Maja 2012 Zgłoś Udostępnij Opublikowano 15 Maja 2012 Zapomniałeś wykonać to: picasso napisał(a): Cytat Od pewnego czasu mam kłopoty z bluescreenem. Zwłaszcza podczas gry online. Rozwiń Wykonaj diagnostykę nakreśloną w punkcie 5 ogłoszenia: KLIK. Rozwiń Czyli debugowanie zrzutów pamięci DMP. Cytat Pomimo starań Instalator Windows Zatrzymany, nie mogę go włączyć. Rozwiń Opisz te "starania", ile punktów z instrukcji wykonałeś, bym nie powtarzała czegoś już próbowanego. Cytat 23:24 - Skanuję w tej chwili Avira Free Antivirus i wykrył mi dwa trojany TR/Crypt.ULPM.Gen. Skanowanie trwa. Rozwiń Sama nazwa nie wystarczy, proszę podaj ścieżkę dostępu. Przecież to może być fałszywy alarm. Przy okazji, skanować sobie oczywiście możesz, ale mam szczere wątpliwości, by to był dobry trop, nie widzę tu problemu infekcji, objawy także są dalekie. Odnośnik do komentarza
Tadzio Opublikowano 16 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2012 Witam. Po kolei System zdecydowanie szybciej uruchamia się i zamyka. To mamy raczej z głowy. Avirę musiałem odinstalować, bo przestał działać.Nie mam pojęcia dlaczego. Zanim odinstalowałem to wirusy były w kwarantannie. Pierwotna lokalizacja wirusów: Begin scan in 'C:\' <SYSTEM> C:\Documents and Settings\alf\Moje dokumenty\Pobieranie\tdsskiller.zip [0] Archive type: ZIP --> TDSSKiller.exe [DETECTION] Is the TR/Crypt.ULPM.Gen Trojan [NOTE] A backup was created as '52df579e.qua' ( QUARANTINE ) [NOTE] The file was deleted! C:\Documents and Settings\alf\Pulpit\BEZPIEKA\tdsskiller.exe [DETECTION] Is the TR/Crypt.ULPM.Gen Trojan [NOTE] A backup was created as '4a487a08.qua' ( QUARANTINE ) [NOTE] The file was deleted! C:\System Volume Information\_restore{723E70E4-F092-480D-804F-FFDAFB177D51}\RP124\A0131808.exe [DETECTION] Is the TR/Crypt.ULPM.Gen Trojan [NOTE] A backup was created as '07d12ec3.qua' ( QUARANTINE ) [NOTE] The file was deleted! C:\System Volume Information\_restore{723E70E4-F092-480D-804F-FFDAFB177D51}\RP127\A0141477.exe [DETECTION] Is the TR/Crypt.ULPM.Gen Trojan [NOTE] A backup was created as '61e66162.qua' ( QUARANTINE ) [NOTE] The file was deleted! Begin scan in 'E:\' <STARY> Begin scan in 'F:\' <SERWER> F:\Pulpit\BEZPIEKA\TDSSKiller.exe [DETECTION] Is the TR/Crypt.ULPM.Gen Trojan [NOTE] A backup was created as '3b8467d1.qua' ( QUARANTINE ) [NOTE] The file was deleted! Druga sprawa to boot.ini. Podczas uruchamiania faktycznie teraz pojawił sie instalator, ale za to zniknął mi Linuks WUBI, który mam na partycji G:. Podczas uruchamiania miałem do wyboru: Windows Instalator Konsola Zniknął wybór WUBI. Edytowałem boot.ini i teraz mam tylko Windowsa i Konsolę. [boot Loader] timeout=6 Default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect C:\CMDCONS\BOOTSECT.DAT="Konsola odzyskiwania systemu Microsoft Windows XP" /cmdcons Jak dodać wybór Linuksa? Instalator Windows: Robię to co napisano w : Metoda 2: Ponowna rejestracja Instalatora Windows Niestety, nie mam Msiexec.exe Nie wiem co dalej. Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 16 Maja 2012 Zgłoś Udostępnij Opublikowano 16 Maja 2012 Cytat Pierwotna lokalizacja wirusów Rozwiń Fałszywy alarm. Toż to TDSSKiller i jego kopie w Przywracaniu systemu (katalog System Volume Information). Cytat Podczas uruchamiania faktycznie teraz pojawił sie instalator, ale za to zniknął mi Linuks WUBI, który mam na partycji G:. Rozwiń Kolejne potwierdzenie (po zakreślanych wcześniej obiektach), że uruchomiłeś para-instalację Windows. Instalator Windows przestemplował pliki rozruchowe (boot.ini). Dostaw w boot.ini w sekcji [operating systems] taki deseń: [operating systems] C:\wubildr.mbr = "Ubuntu" Lub przeinstaluj WUBI. Cytat Metoda 2: Ponowna rejestracja Instalatora Windows Niestety, nie mam Msiexec.exe Rozwiń Jeśli to prawda (wyszukiwanie poprawne), to sprawa się klaruje: 1. Przesyłam na PW plik msiexec.exe zgodny z XP SP3. Wstaw grzecznie do C:\WINDOWS\system32. 2. Start > Uruchom > services.msc, na liście wyszukaj usługę Instalator Windows, z dwukliku wejdź do Właściwości, potwierdź Typ uruchomienia ustawiony na Ręczny. Sprawdź czy usługa startuje bez błędu przy użyciu przycisku. 3. Ponadto, upewnij się, że masz zainstalowaną najnowszą dostępną dla XP wersję: Windows Installer 4.5. Cytat Avirę musiałem odinstalować, bo przestał działać.Nie mam pojęcia dlaczego. (...) Teraz nie mogę tego AV ponownie zainstalować.Niby cały proces przebiega normalnie, ale po restarcie nie ma go w systemie.Brak Katalogu z Avirą. Rozwiń To zapewne "nowa" postać problemu z usługą Instalator Windows, w ogóle nie powinieneś podejmować żadnych prób z (de)instalacją do czasu rozwiązania usterki głównej. W pierwszej kolejności wykonaj polecone wyżej akcje. Dopiero gdy sprawa zostanie w 100% skorygowana i usługa zacznie współpracować, zapraw system czyścicielem rejestru: Avira RegistryCleaner. Ponów instalację Avira. Odnośnik do komentarza
Tadzio Opublikowano 16 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2012 Cytat Kolejne potwierdzenie (po zakreślanych wcześniej obiektach), że uruchomiłeś para-instalację Windows. Instalator Windows przestemplował pliki rozruchowe (boot.ini). Dostaw w boot.ini w sekcji [operating systems] taki deseń: Rozwiń Dostawiłem tę linijkę, bez zmian, zainstaluję ponownie WUBI. Cytat Jeśli to prawda (wyszukiwanie poprawne), to sprawa się klaruje: 1. Przesyłam na PW plik msiexec.exe zgodny z XP SP3. Wstaw grzecznie do C:\WINDOWS\system32. Rozwiń Wstawiłem, okazuje się, ze jednak był z 2008 roku. Podmieniłem. Cytat 2. Start > Uruchom > services.msc, na liście wyszukaj usługę Instalator Windows, z dwukliku wejdź do Właściwości, potwierdź Typ uruchomienia ustawiony na Ręczny. Sprawdź czy usługa startuje bez błędu przy użyciu przycisku. Rozwiń Zrobione. Cytat 3. Ponadto, upewnij się, że masz zainstalowaną najnowszą dostępną dla XP wersję: Windows Installer 4.5. Rozwiń Nie wiem jak mam sprawdzić. Cytat Dopiero gdy sprawa zostanie w 100% skorygowana i usługa zacznie współpracować, zapraw system czyścicielem rejestru: Avira RegistryCleaner. Ponów instalację Avira. Rozwiń Wyczyszczone. Czy teraz instalacja Aviry? Odnośnik do komentarza
picasso Opublikowano 16 Maja 2012 Zgłoś Udostępnij Opublikowano 16 Maja 2012 Cytat Nie wiem jak mam sprawdzić. Rozwiń Po prostu pobierz instalator Windows Installer 4.5 i uruchom. On sam wykryje czy ma kwalifikacje do zagnieżdżenia. Cytat Czy teraz instalacja Aviry? Rozwiń Dopiero po wykonaniu powyższego + restart systemu. Odnośnik do komentarza
Tadzio Opublikowano 16 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2012 Cytat Po prostu pobierz instalator Windows Installer 4.5 i uruchom. On sam wykryje czy ma kwalifikacje do zagnieżdżenia. Rozwiń Uruchomiłem, otworzyło się okno z informacją - Instalator Windows ®. V 3.01.4001.5512 Jeśli się nie mylę obecna powinna być wersja 4.5. Czy tak? https://www.dobreprogramy.pl/Windows-Installer,Program,Windows,12255.html https://www.microsoft.com/pl-pl/download/details.aspx?id=8483 Tylko którą pobrać? to chyba jakaś poprawka. Już nic nie rozumiem... Odnośnik do komentarza
picasso Opublikowano 16 Maja 2012 Zgłoś Udostępnij Opublikowano 16 Maja 2012 Cytat Tylko którą pobrać? Rozwiń Ejże, Ty link ode mnie już dostałeś z biegu (strona MS), więc nie rozumiem po co szukasz alternatywnych, polski język strony niczego nie zmieni poza doznaniami estetycznymi. Plik do pobrania: WindowsXP-KB942288-v3-x86.exe. Odnośnik do komentarza
Tadzio Opublikowano 16 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2012 Tak zrobiłem.Pobrałem ten plik od Ciebie (msiexec.exe) i wstawiłem do system32. W trybie awaryjnym zainstalowałem ponownie Avirę i zaktualizowałem. Działa pięknie Serdecznie dziękuję za pomoc. Pozdrawiam ps; jeżeli nie masz Szanowna Picasso uwag, proszę o zamknięcie wątku. Odnośnik do komentarza
picasso Opublikowano 16 Maja 2012 Zgłoś Udostępnij Opublikowano 16 Maja 2012 Tadzio, ale mówiłeś jeszcze o BSOD i ta część diagnostyki nie została wykonana: picasso napisał(a): Cytat Od pewnego czasu mam kłopoty z bluescreenem. Zwłaszcza podczas gry online. Rozwiń Wykonaj diagnostykę nakreśloną w punkcie 5 ogłoszenia: KLIK. Rozwiń W ogłoszeniu w punkcie 5 jest opisane debugowanie zrzutów pamięci DMP za pomocą narzędzia MS Debugging Tools. Czy jest z tym jakiś problem, a może nie ma na dysku w ogóle plików DMP? PS. I wrócę na moment do przetwarzania skryptu OTL, sterownik Dr. Web nie poszedł: Error: Unable to stop service DwProt! Unable to delete service\driver key DwProt. File move failed. C:\WINDOWS\system32\drivers\dwprot.sys scheduled to be moved on reboot. W Trybie awaryjnym uruchom linię komend cmd i wklep polecenie sc delete DwProt, a po tym skasuj z dysku plik C:\WINDOWS\system32\drivers\dwprot.sys. Odnośnik do komentarza
Tadzio Opublikowano 16 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2012 Picasso, jest katalog Minidump. Zainstalowałem MS Debugging Tools. Cytat 2. Następnym krokiem jest doinstalowanie tzw. symboli, które umożliwią dokładniejszą diagnozę. Z menu File > Symbol File Path: Rozwiń Teraz nie wiem co pobrać z tej strony: https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/debugger-download-symbols Czy to Windows XP with Service Pack 3 x86 retail symbols, all languages (WindowsXP-KB936929-SP3-x86-symbols-full-ENU.exe File size: 209 MB - Most customers want this package) ? Cytat 1. Po instalacji w Menu Start pojawi się stosowna pozycja, w której wybieramy uruchomienie graficznego interfejsu WinDbg: Rozwiń W menu Start nic takiego nie mam. dwprot.sys przeniesiony do Kosza Odnośnik do komentarza
picasso Opublikowano 16 Maja 2012 Zgłoś Udostępnij Opublikowano 16 Maja 2012 Cytat Picasso, jest katalog Minidump. Rozwiń Ale czy są w nim pliki DMP? Cytat Zainstalowałem MS Debugging Tools. Teraz nie wiem co pobrać (...) Rozwiń I wystarczy, że w konfiguracji wkleisz ścieżkę do serwera symboli (jak podane na obrazku w ogłoszeniu). Debugger sam ściągnie z sieci symbole podczas przetwarzania DMP, nie trzeba pobierać paczki symboli z osobna. Cytat W menu Start nic takiego nie mam. Rozwiń To szukaj w katalogu, gdzie został zainstalowany MS Debugging Tools. Narzędzie: C:\Program Files\Debugging Tools for Windows (x86)\windbg.exe. PS. Teraz zwróciłam na to uwagę: Cytat Pobrałem ten plik od Ciebie (msiexec.exe) i wstawiłem do system32. Rozwiń Ten tekst pojawił się już po potwierdzonej podmianie pliku, gdy to już kolejny etap zadania miał być wykonany: instalacja Windows Installer 4.5. Podstawienie pliku msiexec.exe to była tylko połowa zadania (to plik w starej wersji zintegrowanej z XP), po tym miałeś zaktualizować całą maszynę Windows Installer (a to nie tylko plik msiexec.exe) do wersji 4.5. Mówiąc: picasso napisał(a): Ty link ode mnie już dostałeś z biegu (strona MS), więc nie rozumiem po co szukasz alternatywnych (...) Plik do pobrania: WindowsXP-KB942288-v3-x86.exe. Rozwiń Miałam na myśli ten link MS: picasso napisał(a): (...) najnowszą dostępną dla XP wersję: Windows Installer 4.5. Rozwiń Czy na pewno to wykonałeś? Odnośnik do komentarza
Tadzio Opublikowano 16 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2012 Cytat Ale czy są w nim pliki DMP? Rozwiń W Minidump nie ma plików. Cytat To szukaj w katalogu, gdzie został zainstalowany MS Debugging Tools. Narzędzie: C:\Program Files\Debugging Tools for Windows (x86)\windbg.exe. Rozwiń Jest, uruchomiłem go i... Wszystkie punkty do 3. wykonałem, dalej nie mogę, ponieważ DMP nie istnieją, Minidump jest pusty. Cytat Ten tekst pojawił się już po potwierdzonej podmianie pliku, gdy to już kolejny etap zadania miał być wykonany: instalacja Windows Installer 4.5. Podstawienie pliku msiexec.exe to była tylko połowa zadania (to plik w starej wersji zintegrowanej z XP), po tym miałeś zaktualizować całą maszynę Windows Installer (a to nie tylko plik msiexec.exe) do wersji 4.5. Mówiąc: Rozwiń Cytat Czy na pewno to wykonałeś? Rozwiń Tak. Zrobione. Odnośnik do komentarza
picasso Opublikowano 16 Maja 2012 Zgłoś Udostępnij Opublikowano 16 Maja 2012 Cytat Wszystkie punkty do 3. wykonałem, dalej nie mogę, ponieważ DMP nie istnieją, Minidump jest pusty. Rozwiń Tadzio, to było oczywiste, że MS Debugging Tools instalujesz wiedząc, że masz zrzuty pamięci DMP na dysku (pliki C:\Windows\Minidump\*.DMP lub C:\WINDOWS\MEMORY.DMP). W przeciwnym wypadku zadanie mija się z celem, bo nie ma czego po prostu otwierać w debugerze. Minidump pusty, czy posiadasz plik C:\WINDOWS\MEMORY.DMP? Jeśli nie, to czy masz prawidłowo skonfigurowane zrzuty pamięci, by były zapisywane? Odnośnik do komentarza
Tadzio Opublikowano 17 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2012 Witam. Takie mam ustawienia. Czy dobrze? Dodam tylko, że od dwóch dni, kiedy zaczęliśmy nad tym pracować nie było ekranów śmierci. Odnośnik do komentarza
picasso Opublikowano 17 Maja 2012 Zgłoś Udostępnij Opublikowano 17 Maja 2012 Masz ustawiony "Zrzut pamięci jądra" (czyli C:\WINDOWS\MEMORY.DMP), dlatego Minidump jest pusty (to jest "Mały zrzut pamięci" = domyślne ustawienie XP). W związku z tym ponawiam pytanie: czy posiadasz plik C:\WINDOWS\MEMORY.DMP? Jeśli tak, to otwórz go w MS Debugging Tools i podaj wynik. Odnośnik do komentarza
Tadzio Opublikowano 17 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2012 Picasso, niestety MEMORY.DMP nie ma. Dlatego nie mogę go otworzyć, o tym wspominałem powyżej Odnośnik do komentarza
picasso Opublikowano 17 Maja 2012 Zgłoś Udostępnij Opublikowano 17 Maja 2012 Coś się nie dogadujemy. Wcześniej była mowa o plikach DMP w innym miejscu (Minidump). Minidump to folder na mniejsze pliczki, jest pusty (już to wiemy), a przyczyna jest w konfiguracji (ustawiony zapis do MEMORY.DMP a nie Minidump). A tu podany widok obrazka sugeruje, że Ty myślisz iż C:\WINDOWS\MEMORY.DMP to folder, gdyż pokazujesz tylko "górę" a nie spód gdzie nawet alfabetycznie nie doszło do literki "M", a to jest plik. Odnośnik do komentarza
Tadzio Opublikowano 17 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2012 Przepraszam, faktycznie pomyliłem Odnośnik do komentarza
picasso Opublikowano 17 Maja 2012 Zgłoś Udostępnij Opublikowano 17 Maja 2012 Pliku nie ma, to i na chwilę obecną nie możemy zdiagnozować BSOD, o których wspominałeś. Przekonfiguruj w opcjach ze "Zrzutu pamięci jądra" na "Mały zrzut pamięci". Zostaw zainstalowany MS Debugging Tools. I nie pozostaje nic innego niż czekać na kolejny BSOD (o ile wystąpi w ogóle). A wtedy skok do katalogu Minidump w celu potwierdzenia wygenerowania plików DMP, które można otworzyć w debuggerze. Odnośnik do komentarza
Tadzio Opublikowano 17 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2012 Rozumiem, zaraz zmienię. Jeszcze jedno, czy taki komunikat coś oznacza, jak to traktować? Pojawił się pierwszy bluescreen. Wklejam to, co było w Minidump/DMP Odnośnik do komentarza
Rekomendowane odpowiedzi