Kaosu Opublikowano 3 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2010 Dzisiaj spotkałem się z dosyć dziwną sytuacją podczas użytkowania komputera. Nagle ni stąd ni z owąd włączyła mi się Java, a potem włączył mi się Windows Media Player z komunikatem, czy chcę uruchomić video z pewnego linku. Wykonywania oczywiście odmówiłem (Niestety nie zapamiętałem owego linku). Postanowiłem sprawdzić zatem stan swojego systemu. W menedżerze zadań zauważyłem, że jest uruchomiony plik.exe, zawierający w nazwie 6 cyfr. Przeskanowałem zatem system przy użyciu HijackThis i przejrzawszy log napotkałem na podejrzliwe wpisy: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O4 - HKLM\..\Run: [22956] C:\DOCUME~1\Polish\LOCALS~1\Temp\058766.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe O4 - Startup: wwwqxk32.exe Spróbowałem zatem ręcznie usunąć plik sdra64.exe oraz sekwencję "C:\WINDOWS\system32\sdra64.exe," w rejestrze. Wpis w rejestrze udało się zmodyfikować, lecz samego pliku w ogóle nie mogłem znaleźć w katalogu system32 (mając, oczywiście, włączoną opcję wyświetlania ukrytych plików). Podjąłem również próbę skasowania wpisu HKLM\..\Run: [22956] C:\DOCUME~1\Polish\LOCALS~1\Temp\058766.exe, ale na próżno, gdyż nie dał się usunąć. Pliku o sześciocyfrowej nazwie takoż nie mogłem usunąć przy pomocy Shift+Delete. Po restarcie systemu w rejestrze znowu się pojawiła sekwencja "C:\WINDOWS\system32\sdra64.exe,". Postanowiłem przeto potraktować robactwo Spyware Doctorem, lecz po restarcie wszystko wróciło do punktu wyjścia. Jedyne, co się zmieniało podczas mych prób usunięcia owego robaka, to sześciocyfrowy plik .exe - został zastąpiony innym sześciocyfrowym. Postanowiłem w końcu się zwrócić o pomoc tutaj na forum. Zgodnie z zaleceniami odinstalowałem Daemon Tools oraz SPTD. Logi z OTL są w załączniku. Jednakże GMER nie mógł wykonać pełnego skanu. Otóż w ciągu niespełna minuty skanowania nagle wyskakuje blue screen. Przy ponownej próbie pełnego skanowania sytuacja się powtórzyła. Niestety, nie zdołałem nawet przeczytać treści owego ekranu, bowiem nastąpił automatyczny restart komputera. Dołączam przeto log z programu RootRepeal (oraz log z automatycznego skanu GMER-a, jeśli jest potrzebny). RootRepeal report 08-03-10 (23-30-07).txt OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 3 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2010 Od razu na wstępie ostrzeżenie (KLIK), sdra64.exe to jest trojan, który wykrada hasła i to zdarzenie mogło mieć już miejsce. Dlatego też po ukończeniu dezynfekcji na wszelki wypadek będziesz zmieniał dane.... Poza tym w logach z rootkit detekcji widać modyfikowany plik systemowy NDIS.SYS oraz dwie usługi rootkitów mlnltzg + nhiwpp. W OTL jest zbiór szkodników, w tym widoczna modyfikacja pliku systemowego userinit.exe. Przy widzialnej tu charakterystyce za zasadne uważam: Rozpocznij od pobrania i uruchomienia zgodnie ze wskazówkami programu ComboFix. Przedstaw wyniki jego działania. Odnośnik do komentarza
karololszak Opublikowano 3 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2010 To ja dodam od siebie jeszcze, że ukradzione dane prawdopodobnie znajdują się w: C:\Windows\lowsec\user.ds #Edit: no a skoro ComboFix automatycznie usunie ten katalog, to chyba jednak dobrze jest wcześniej wiedzieć, jakie konkretnie dane zostały nam ukradzione Oczywiście 100% pewności nie ma (bo może też być jakiś inny trojan itd.), ale będzie wiadomo co na pewno zmienić trzeba. Odnośnik do komentarza
picasso Opublikowano 3 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2010 To jest w opisie tego trojana w linku, który podałam. A katalog jest u niego w ścieżce: [2010-08-03 21:15:47 | 000,000,000 | -HSD | C] -- C:\WINDOWS\System32\lowsec ComboFix automatycznie usuwa cały katalog lowsec. EDIT: no a skoro ComboFix automatycznie usunie ten katalog, to chyba jednak dobrze jest wcześniej wiedzieć, jakie konkretnie dane zostały nam ukradzione Dane nie są przetrzymywane w tekście jawnym lecz zaszyfrowane przy użyciu unikalnego klucza, więc tu odpada "metoda Notatnikowa". Bardzo szczegółowa informacja na blogu ThreatExpert: KLIK / KLIK. Dla przeciętnego użytkownika sprawa się sprowadza do usunięcia infekcji i zmiany danych. . Odnośnik do komentarza
Kaosu Opublikowano 4 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Dziękuję bardzo za szybkie odpowiedzi. Niestety na razie nie mogę podać wyników z ComboFix, gdyż w ogóle nie potrafię uruchomić Windowsa. (Całe szczęście, że mam jeszcze stary komputer, z którego właśnie piszę.) Otóż gdy się pojawia ekran ładujący się, nagle pasek "postępu" się zatrzymuje, ukazuje się blue screen i natychmiast komputer się uruchamia ponownie - i tak w kółko Macieju, dopóki go nie wyłączę. Niestety nie mogę nawet przeczytać zawartości owego blue screena. Przy próbie uruchomienia trybu awaryjnego (niezależnie od tego, czy jest zwykły, z internetem czy z wierszem poleceń). Nie pojawia się natomiast ów blue screen - gdy przy ładowaniu pojawia się linia '(...)\system32\drivers\Mup.sys' komputer restartuje. Nie wiem, dlaczego tak się dzieje, ale napiszę, co robiłem zanim to się stało. Może to ma jakiś związek z tą sytuacją. Otóż postanowiłem sobie umilić czas na czekanie na odpowiedź (spodziewając się, że pojawi się raczej jutro) i zagrać w pewną grę. Gra ta jest w trybie pełnoekranowym. Tym razem nie mogłem w nią zagrać, gdyż po przejściu do ekranu z menu kursor przybrał formę 'zegara piaskowego', czego nigdy przedtem nie robił. Spróbowałem zatem kombinacji Alt+Tab, klawisza Windows, Esc, ale na próżno, więc zresetowałem. Uruchomiłem grę po raz drugi i znowu to samo. (Mea culpa, mea culpa, mea maxima culpa - być może powinienem był sobie spożytkować czas w inny sposób.) Nie wiem, czy winić za to tę grę, bo choć po raz pierwszy uruchomiłem ją jeszcze przedwczoraj, to miałem wcześniej do czynienia z poprzednią wersją gry tego samego autora, pobraną z tej samej strony. Odnośnik do komentarza
picasso Opublikowano 4 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 w ogóle nie potrafię uruchomić Windowsa. (...) Otóż gdy się pojawia ekran ładujący się, nagle pasek "postępu" się zatrzymuje, ukazuje się blue screen i natychmiast komputer się uruchamia ponownie - i tak w kółko Macieju Przypuszczam, że Windows nie bootuje z powodu modyfikacji kluczowego sterownika NDIS.SYS i towarzyszących rootkitów poziomu kernel (to zresztą niestety nie jedyna sprawa w logach). W takim układzie będziemy usuwać wszystko ręcznie z poziomu płyty startowej. Ale na początek zrobisz raport z zewnątrz, bym widziała jak sytuacja się ewentualnie przeobraziła. Zgodnie z instrukcjami zastartuj z płyty OTLPE i za jej pomocą zrób log OTL do prezentacji. Na tej podstawie zbuduję skrypt zamiany plików czystymi kopiami i usuwający pozostałe wpisy. Komentarz: granie w gry w sytuacji tak poważnej infekcji jest działaniem irracjonalnym. Ten system należało zostawić w spokoju i nie poddawać go próbie na zasoby systemowe. . Odnośnik do komentarza
Kaosu Opublikowano 4 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Zastartowałem komputer z płyty OTLPE i uruchomiłem OTL do skanu. Jednak coś tu jest nie tak. Zgodnie z instrukcją miało się pojawić okienko Browse for folder, lecz od razu się pojawiło Do you wish to load remote user profile(s) for scanning. Skan przebiegł nawet krótko, a log faktycznie się znajdował w katalogu głównym C:\, jednakże jakimś dziwnym trafem OTLPE pozmieniało miejscami literki dysków - dysk z katalogiem WINDOWS został oznaczony jako D:, natomiast mój drugi dysk właśnie jako C:\. Może coś namieszałem w BIOS-ie? Moje okno z opcjami kolejności startowania w BIOS-ie wygląda mniej-więcej tak jak na tym zdjęciu, które znalazłem za pomocą Google: http://img691.imageshack.us/img691/7562/biossata002.jpg (Niczego nie ruszałem w sekcji Hard disk drives.) Tak czy siak, log załączam, o ile jest użyteczny. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Skan przebiegł nawet krótko, a log faktycznie się znajdował w katalogu głównym C:\, jednakże jakimś dziwnym trafem OTLPE pozmieniało miejscami literki dysków - dysk z katalogiem WINDOWS został oznaczony jako D:, natomiast mój drugi dysk właśnie jako C:\. Może coś namieszałem w BIOS-ie? Mapowanie dysków w środowiskach zewnętrznych może być wykonane w innej kolejności niż spod działającego systemu, to znaczy można widzieć w tych dwóch sytuacjach inne liternictwo i to nie oznacza, że litery się rzeczywiście zamieniły, tylko raczej to w jaki sposób narzędzie to widzi. Z tym, że tu to inne mapowanie powoduje problem w usuwaniu wprost z loga, ponieważ podmontowane przez OTLPE hive rejestru z nazwą "D" i tak kierują wszędzie do C a nie D, w związku z tym wszelkie pliki zapisane w rejestrze są widziane jako "not found". To utrudnia mi skonstruowanie ad hoc skryptu, bo bezpośrednie wykorzystanie oryginalnych linii nie przetworzy wszystkiego za jednym zamachem. Mogłabym założyć pewne dostosowania, ale szczerze mówiąc nie mam pewności jak się zachowa OTLPE po raz drugi ... Dlatego dam pewniejszą metodę ręczną. Jest ona bardziej czasochłonna dla użytkownika i wymaga dużej uwagi przy prowadzeniu działań. Oczywiście dla ułatwienia wszędzie mówię o plikach na C, ale masz to zrozumieć właściwie, jeśli OTLPE widzi system na D. PRZYGOTOWANIA: 1. Pobierz ode mnie czyste pliki ndis.sys + userinit.exe, wyekstraktowane z pakietu SP3 (taki status ma Twój system): KLIK 2. Zrób dwa pliki importowania do rejestru. ----> Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\KOPIA1\ControlSet001\Services\nhiwpp] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\KOPIA1\ControlSet001\Services\mlnltzg] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\KOPIA1\ControlSet001\Services\denkpjen] "Start"=dword:00000004 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako SYSTEM.REG ----> Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\KOPIA2\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\KOPIA2\Microsoft\Windows\CurrentVersion\Run] "4356"=- [-HKEY_LOCAL_MACHINE\KOPIA2\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako SOFTWARE.REG 3. Wszystkie materiały, czyli świeże kopie plików + dwa pliki REG umieść na pendrive, by były dostępne spod OTLPE. AKCJA SPOD OTLPE: Startujesz do OTLPE, nie uruchamiasz OTL. Płyta zostanie wykorzystana w inny sposób. 1. Klikasz w buttonik "Startu" > Run > wklepujesz regedit co otworzy edytor rejestru: ----> Podświetlasz gałąź HKEY_LOCAL_MACHINE i z menu File > Load hive. Pojawi się okno przeglądania. Masz wskazać plik rejestru Twojego systemu, więc patrz uważnie który katalog odwiedzasz, czyli C:\WINDOWS\system32\config\SYSTEM. Następnie padnie pytanie o nazwę i tu masz wprowadzić dokładnie taką a nie inną, bo to jest w imporcie: KOPIA1. Na liście gałązek pojawi się nowy obiekt KOPIA1: Z menu File > Import > wskazujesz plik SYSTEM.REG > potwierdzasz import. Następnie podświetlasz klucz KOPIA1 i z menu File > Unload hive. Gałązka ma zniknąć z widoku. ----> Podświetlasz gałąź HKEY_LOCAL_MACHINE i z menu File > Load hive. Tym razem masz wskazać plik C:\WINDOWS\system32\config\SOFTWARE a jako nazwę roboczą nadać KOPIA2. Z menu File > Import > wskazujesz plik SOFTWARE.REG > potwierdzasz import. Następnie podświetlasz klucz KOPIA2 i z menu File > Unload hive. Gałąź znika, a Ty zamykasz rejestr. 2. Czas na zamianę plików świeżymi kopiami. Masz wstawić czyste pliki ode mnie w te miejsca zastępując pliki aktualne: C:\WINDOWS\System32\userinit.exe C:\WINDOWS\System32\dllcache\userinit.exe C:\WINDOWS\System32\drivers\ndis.sys C:\WINDOWS\System32\dllcache\ndis.sys 3. Następnie usuwasz z dysku systemowego te pliki i foldery infekcji przez SHIFT+DEL (by nie szło przez Kosz): C:\lsass.exe C:\WINDOWS\cfdrive32.exe C:\WINDOWS\System32\fjhdyfhsn.bat C:\WINDOWS\System32\lowsec C:\WINDOWS\System32\stu2.exe C:\WINDOWS\System32\drivers\denkpjen.sys C:\WINDOWS\System32\drivers\mlnltzg.sys C:\WINDOWS\System32\drivers\nhiwpp.sys C:\Documents and Settings\LocalService\Application Data\mbsvil.dat C:\Documents and Settings\Polish\Application Data\avdrn.dat C:\Documents and Settings\Polish\Application Data\ohydy.exe C:\Documents and Settings\Polish\Local Settings\Temp C:\Documents and Settings\Polish\Start Menu\Programs\Startup\wwwqxk32.exe Restart systemu i zobaczymy ..... Jeśli się uda wejść do Windows, to robisz nowe logi z OTL + GMER, ponieważ zostają jeszcze do usunięcia wyłączone przeze mnie usługi rootkitów oraz wpisy rejestru użytkownika (bo montowanie trzeciego pliku uznałam za niekonieczne i zbyt absorbujące Cię). . Odnośnik do komentarza
Kaosu Opublikowano 4 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Wykonałem wszystko krok po kroku, aczkolwiek Windows nadal się nie uruchamia - wyskakuje blue screen i następuje automatyczny restart. Odnośnik do komentarza
picasso Opublikowano 4 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Zrób w takim razie nowy log z OTLPE, z aktualnej sytuacji. Przeglądnij także spod OTLPE katalog C:\WINDOWS\minidump. Jeśli są w nim jakieś pliki datowane świeżo, wszystkie skopiuj na pena, spakuj do ZIP i shostuj gdzieś do analizy. Odnośnik do komentarza
Kaosu Opublikowano 4 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Log załączam. W katalogu Windows\Minidump zaiste były świeżo datowane pliki. Oto link do nich: pliki_Minidump.zip. Dodatkowo skopiowałem świeżo datowane pliki z katalogu Windows\system32: pliki_system32.zip. Te dwa pliki .exe mi podejrzanie wyglądają, ale może w rzeczywistości tak nie jest. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 4 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Hmmm, pliki pasujące do daty na wczoraj wskazują właśnie jako przyczynę sterowniki rootkitów (w stacku jest jeszcze drugi drajwer mlnltzg.sys): Mini080310-02.dmp 2010-08-03 23:15:20 PAGE_FAULT_IN_NONPAGED_AREA 0x10000050 0xf742a000 0x00000000 0xa9fcfafc 0x00000000 uwlorkog.sys uwlorkog.sys+afc Mini080310-01.dmp 2010-08-03 23:07:22 PAGE_FAULT_IN_NONPAGED_AREA 0x10000050 0xf742a000 0x00000000 0xa72ccafc 0x00000000 uwlorkog.sys uwlorkog.sys+afc Ten plik uwlorkog.sys to jest sterownik GMER, popatrzyłam bowiem na Twój log z GMER i to był jego tymczasowy sterownik. Resztę sterowników rootkit wyłączałam w imporcie i one nie powinny tu stanowić problemu .... Wygląda na to, że nie ma innych dumpów i nic więcej tu nie widzę.... Spod OTLPE przekopiuj cały plik C:\WINDOWS\system32\config\SYSTEM na pendrive, zapakuj do ZIP i prześlij mi tu. Ja go przejrzę, a jeśli coś znajdę, zedytuję i podam plik do zamiany. . Odnośnik do komentarza
Kaosu Opublikowano 4 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Oto link do pliku system: system.zip. Odnośnik do komentarza
picasso Opublikowano 4 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Wykonałam różne edycje. Usługi rootkitów (już wyłączone poprzednim importem) w całości skasowałam, zaimportowałam domyślny wygląd zapisów NDIS w rejestrze (uzupełniłam brakujący fragment w kluczu LEGACY), przeanalizowałam klucz kolejności ładowania GroupOrderList i tam zmodyfikowałam wartość binarną Boot Bus Extender (do tej klasy należały wszystkie stery rootkitów i ta wartość wykazywała różnicę), dodatkowo dokasowałam klucz Daemona SPTD, bo mimo wyłączenia on tam nadal jako zablokowany stał. Edycję wykonałam na obu gałęziach, bieżącej i Ostatniej poprawnej konfiguracji. Plik do odbioru: KLIK. Wykonaj kopię aktualnego pliku. Następnie zamień pliki SYSTEM. Nie mam dużej nadziei, ale spróbuj czy to coś pomoże. Jeśli nie, będziemy szukać wstecznej kopii pliku SYSTEM w katalogach Przywracania systemu. Cały czas zakładam, że coś stało się na poziomie rejestru i szukam w tym pliku, który odpowiada za konfig sprzętowy i ładowanie sterowników (tu siedziały rootkity i stąd się ładuje ndis.sys). Jest to ocena "na duszę". Jest również możliwe, że uszkodzenie jest zupełnie gdzie indziej. . Odnośnik do komentarza
Kaosu Opublikowano 4 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 Zedytowany plik pobrałem, wykonałem kopię oryginalnego i podmieniłem, lecz niestety nadal nie idzie uruchomić Windowsa - nadal widzę tenże blue screen i automatyczny restart. Odnośnik do komentarza
picasso Opublikowano 4 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2010 W takim razie, by wykluczyć tę część rejestru, zrób próbę na post-instalacyjnym gołym pliku rejestru. Zbackupuj także plik który wstawiłeś ode mnie. Następnie zamień plik C:\WINDOWS\system32\config\SYSTEM plikiem C:\WINDOWS\Repair\SYSTEM (oczywiście zostaw kopię tego pliku). Podaj mi tu rezultaty czy BSOD nadal występuje. PS. Na wszelki wypadek pytanie: na pewno dobrze podstawiłeś plik ndis.sys? Odnośnik do komentarza
Kaosu Opublikowano 5 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 Podmieniłem plik C:\WINDOWS\system32\config\SYSTEM plikiem C:\WINDOWS\Repair\SYSTEM. Objawy nie ustąpiły. PS. Na wszelki wypadek pytanie: na pewno dobrze podstawiłeś plik ndis.sys? Mniemam, że chyba tak. Przynajmniej sądzę tak na podstawie daty ostatniej modyfikacji - zarówno u C:\WINDOWS\System32\drivers\ndis.sys jak i C:\WINDOWS\System32\dllcache\ndis.sys jest nią 14 kwietnia 2008 r. Odnośnik do komentarza
picasso Opublikowano 5 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 To sugeruje, że problemem nie jest plik rejestru SYSTEM i chyba zarzucę krążenie wokół rejestru (są jeszcze inne pliki SOFTWARE / NTUSER.DAT...). Niestety pozostaje cała masa innych podejrzanych, pliki na dysku, stan dysku, sprzęt ... Próbowałam wyłuskać coś charakterystycznego z Twojego opisu, co się działo podczas uruchomienia gry, ale jedyne co mi dźwięczy, to fakt wymuszonego restartu. Może ten restart był jakiś fatalny w skutkach i strzeliło po czymś. 1. Wstaw z powrotem plik SYSTEM, który dostałeś po edycji ode mnie. Następnie z poziomu płyty OTLPE spróbuj wywołać sprawdzanie dysku na okoliczność błędów. Start > Run > CMD. Wpisz polecenie: CHKDSK X: /F /R, pod X: wstawiając literę pod jaką OTLPE widzi dysk z Windows. Nanieś oczywiście stosowną poprawkę, że dyski się przemieszały, byś wskazał do sprawdzenia właściwy. 2. Pewną opcją jest wywołanie reinstalacji Windows w trybie Reperacja, co oznacza bez utraty danych / programów / układu kont. Akcja wymaga posiadania pełnej płyty instalacyjnej Windows XP w stanie SP3. Jest wymagany status SP3, ponieważ system zainstalowany na dysku ma taki. Jeśli masz CD, ale nosi ona starszą wersję XP, to nie jest problem, bo można zbudować nową CD ze zintegrowanym SP3. Natomiast jeśli nie masz w ogóle nośnika instalacyjnego, to już pozostaje tylko pożyczka od "dobrego kumpla". . Odnośnik do komentarza
Kaosu Opublikowano 5 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 Wykonałem sprawdzanie dysku. Oto wyniki: Microsoft Windows XP [Version 5.1.2600] © Copyright 1985-2001 Microsoft Corp. B:\Documents and Settings\Default User\Desktop>CHKDSK D: /F /R The type of the file system is NTFS. CHKDSK is verifying files (stage 1 of 5)... File verification completed. CHKDSK is verifying indexes (stage 2 of 5)... Index verification completed. CHKDSK is verifying security descriptors (stage 3 of 5)... Security descriptor verification completed. CHKDSK is verifying Usn Journal... Usn Journal verification completed. CHKDSK is verifying file data (stage 4 of 5)... Windows replaced bad clusters in file 3935 of name \WINDOWS\inf\61883.PNF. File data verification completed. CHKDSK is verifying free space (stage 5 of 5)... Free space verification is complete. Adding 1 bad clusters to the Bad Clusters File. Correcting errors in the Volume Bitmap. Windows has made corrections to the file system. 78140128 KB total disk space. 50902100 KB in 133520 files. 78236 KB in 17907 indexes. 4 KB in bad sectors. 307676 KB in use by the system. 65536 KB occupied by the log file. 26852112 KB available on disk. 4096 bytes in each allocation unit. 19535032 total allocation units on disk. 6713028 allocation units available on disk. B:\Documents and Settings\Default User\Desktop> Co do dysku instalacyjnego Windows, to znalazłem u siebie takowy. Podejrzewam, iż jest to wersja z SP3. Odnośnik do komentarza
picasso Opublikowano 5 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 Wykonałem sprawdzanie dysku. Widzę, że jest 4KB bad sectorów. Sprawdziłeś czy system nadal nie startuje po tej operacji? Co do dysku instalacyjnego Windows, to znalazłem u siebie takowy. Podejrzewam, iż jest to wersja z SP3. Jeśli sprawdzanie dysku nie pomogło, a masz płytę, to można zaczynać. Startujesz z tej płyty i masz przejść przez te ekrany aż do opcji Reperacji: . Odnośnik do komentarza
Kaosu Opublikowano 5 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 Widzę, że jest 4KB bad sectorów. Sprawdziłeś czy system nadal nie startuje po tej operacji? Teraz sprawdziłem i sytuacja pozostała bez zmian Jeśli sprawdzanie dysku nie pomogło, a masz płytę, to można zaczynać. Startujesz z tej płyty i masz przejść przez te ekrany aż do opcji Reperacji: "Jutro" zajmę się reparacją i dam znać jak mi poszło. EDIT Ekran instalacyjny nieco się różnił od podanego tutaj przez Ciebie. W dolnej części pierwszego ekranu było okienko z wyborem dysków, podobnie jak tu. Co ciekawe, dysk systemowy instalacja również widziała jako D, ten drugi zaś jako C. Zaznaczyłem więc D i wcisnąłem Enter. Na następnym ekranie jedną z opcyj była Leave the current file system intact (no changes) - ją też właśnie wybrałem, jako iż nie znalazłem niczego, co by zawierało wyraz repair. Zaznaczywszy ją, zainicjowałem instalację. I chyba się powiodło, bo wreszcie system uruchomił się bezproblemowo. Co prawda dysk systemowy ostał się z literką D w nazwie, a moje poprzednie konta nie są wyświetlane na ekranie powitalnym (choć katalogi z nimi się zachowały). Niczego jednak nie ruszałem i komputer wyłączyłem. Czekam zatem na dalsze wskazówki. Odnośnik do komentarza
picasso Opublikowano 5 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 Zaczynam powątpiewać czy to była płyta o stanie XP SP3. Sprawdź datowanie plików na płycie, jeśli są z roku 2008 = to był SP3, jeśli niżej to nie. Nie podoba mi się przebieg tej "Reperacji". I wyzerowało czynność kont na Ekranie logowania. Czy na pewno na dysku masz dostępne wszystkie personalne pliki, które były przed tym procesem? Czy teraz jest jakiekolwiek konto dostępne dla Ciebie do logowania? Jeśli tak, zaloguj się i: 1. Wytwórz log z sid.vbs: KLIK (punkt 3). To pokaże mi układ kont, który widzi Windows. Jest tu zawsze ewentualność (pod warunkiem, że poprzednie katalogi kont są OK) przeniesienia zawartości starego folderu do nowo aktywowanego konta. 2. Wytwórz log z OTL. 3. Zaprezentuj układ partycji, co może nasunie dlaczego liternictwo się przetasowało. Start > Uruchom > diskmgmt.msc i zrób zrzut ekranu. Odnośnik do komentarza
Kaosu Opublikowano 5 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2010 Zaczynam powątpiewać czy to była płyta o stanie XP SP3. Sprawdź datowanie plików na płycie, jeśli są z roku 2008 = to był SP3, jeśli niżej to nie. Tak, datowanie jest z 14 kwietnia 2008 r. Dodatkowo sprawdziłem plik readme.htm na płycie i tam wyraźnie jest napisane, że dysk ów ma zainstalować Windows XP wraz z SP3. Czy na pewno na dysku masz dostępne wszystkie personalne pliki, które były przed tym procesem? Sprawdzę dokładnie te pliki personalne. Czy teraz jest jakiekolwiek konto dostępne dla Ciebie do logowania? Tak, instalator poprosił mię o utworzenie konta i to ono jako jedyne jest aktywne właśnie. EDIT Zamieszczam logi z sid.vbs, OTL tudzież zrzut ekranu z diskmgmt.scr Chyba Windows faktycznie nie widzi tych dwu poprzednich kont. Sprawdziłem katalog tego konta, z którego korzystam na codzień, i wygląda na to, iż jego zawartość się zachowała. OTL.Txt Extras.Txt SID.txt Odnośnik do komentarza
picasso Opublikowano 6 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 W logu jest jeden szkodnik, ale plik leży w jednym ze starych katalogów profilu, tzn. nie wykonuje się, bo to konto nie jest zalogowane i już nie będzie logowane: O4 - Startup: D:\Documents and Settings\User\Start Menu\Programs\Startup\wwwqxk32.exe () Wystarczy ten plik skasować.... 1. Tu nie odbyła się Reperacja (nie było przecież dla Ciebie widocznej opcji!), tu się wykonała czysta instalacja Windows, w konsekwencji niezbyt elegancki nadpis "Windows obok Windows", a nie "Windows na Windows" co gwarantuje Reperacja. Co było o tyle szczęśliwe, że nie wymazało tak do końca Twoich danych, które być może są potrzebne, aczkolwiek to teraz ma charakter odpadków .... "Subtelne" ślady są w logu: katalog systemowy to teraz C:\WINDOWS.0, utrata wyświetlania starych kont (katalogi poprzednich kont są martwe ich się już nie "podczepi" jako normalne konto), praktycznie wszystkie ustawienia rejestru są wyzerowane. To oznacza, że ten system nie widzi żadnego programu, który był zainstalowany na poprzednim systemie oraz żadnych personalnych ustawień z poprzedniego systemu. 2. Przetasowanie liternictwa: Typ partycji i priorytet. Litera C jest asygnowana dla pierwszej partycji podstawowej aktywnej na pierwszym dysku twardym. Patrząc na Twój układ: otóż dysk "Nowy", któremu przypisano C, ma marker System, czyli jest to właśnie partycja podstawowa aktywna. Takiej charakterystyki nie ma partycja z Windows, widzialna jako D. Dodatkowo: partycja podstawowa aktywna to jedyna specyfikacja na której mogą leżeć pliki startowe. To na tym dysku powinieneś widzieć ważkie pliki systemu: boot.ini, ntldr, ntdetect.com. To oznacza też, że Twój system wymaga dwóch partycji a nie jednej, są one sprzężone w sposób nierozerwalny. Jeśli odepniesz dysk widziany tu jako C, Windows w ogóle nie zastartuje. Zachodzi pytanie czym tak naprawdę jest ten dysk "Nowy", czy to urządzenie magazynujące tylko na osobiste dane czy jest podpięte tylko tymczasowo czy na stałe? Można ewentualnie próbować spiąć oba elementy systemu (jego pliki startowe + cała zainstalowany majdan) razem, ponieważ partycja z Windows jest już partycją typu podstawowego, co kondensuje zadanie do kroków: przekopiować pliki startowe na dysk D, zedytować boot.ini, zbootować z zewnętrznego menedżera partycji i przestawić która partycja jest aktywna oraz przestemplować rozruch przez połowiczną inicjację instalatora Windows ..... Zestawiając oba fakty razem, zachodzi pytanie co robić. Zrobił się teraz misz masz na dysku. I tak praktycznie rzecz biorąc masz wyzerowany system. Możnaby było tu sztukować, szukać starszych kopii rejestru w poprzednim C:\WINDOWS i próbnie podstawiać do C:\WINDOWS.0 lub z nich ekstraktować zapisy rejestru do częściowego importu, by zmusić system do widzenia poprzednich zapisów, sztucznie podpinać zawartość kont przez kopiowanie zawartości folderów do nowych kont, przekopiowywać foldery aplikacji .... Tylko czy warto to robić? Choć to wykonalne, system nie będzie wyglądał "ładnie" tylko jak po wojnie i nie ma gwarancji, że nie przekopiujesz czegoś co jest wadliwe. Moja propozycja jest raczej taka: skopiować na pena ważne pliki z katalogów kont, np. ustawienia Firefox / Gadu-Gadu czy co tam było ważnego na Pulpicie, położyć kreskę na wszystkich zainstalowanych programach, zmienić partycję, która jest aktywna i pojechać z formatem i nową czyściutką instalacją Windows. Podejmij decyzję. W zależności od tego co zadecydujesz, podam dopasowane instrukcje. . Odnośnik do komentarza
Kaosu Opublikowano 6 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 1. Tu nie odbyła się Reperacja (nie było przecież dla Ciebie widocznej opcji!), tu się wykonała czysta instalacja Windows, w konsekwencji niezbyt elegancki nadpis "Windows obok Windows", a nie "Windows na Windows" co gwarantuje Reperacja. (...) No tak, to tłumaczy, skąd "się wziął" ten katalog WINDOWS.0. Zachodzi pytanie czym tak naprawdę jest ten dysk "Nowy", czy to urządzenie magazynujące tylko na osobiste dane czy jest podpięte tylko tymczasowo czy na stałe? W założeniu ten ów "Nowy" dysk miał służyć (i służył) za magazyn mych dokumentów tekstowych, obrazków, filmów, gier czy czego tam jeszcze. Cały system i programy znajdowały się na C:. Ów "Nowy" dysk został mi doczepiony później jako zamiennik poprzedniego, który mi rok temu padł podobno bezpowrotnie. Moja propozycja jest raczej taka: skopiować na pena ważne pliki z katalogów kont, np. ustawienia Firefox / Gadu-Gadu czy co tam było ważnego na Pulpicie, położyć kreskę na wszystkich zainstalowanych programach, zmienić partycję, która jest aktywna i pojechać z formatem i nową czyściutką instalacją Windows. Podejmij decyzję. W zależności od tego co zadecydujesz, podam dopasowane instrukcje. Rozumiem, że format dotyczyłby tylko partycji z systemem, tj. dysk "Nowy" nie będzie ruszany? Mam dodatkowe pytanie. Tak się składa, że choć otrzymałem dysk instalacyjny Windows, to jednak już nie polskie pliki językowe dla interfejsu (to się chyba MUI zowie) - czy da się to pobrać ze stron Microsoftu? Odnośnik do komentarza
Rekomendowane odpowiedzi