Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Windows XP nie startuje

atasuke

Przez atasuke
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

atasuke

atasuke

Opublikowano
Opublikowano

Witam

Problem mam mianowicie taki dzisiaj rano uruchamiam komputer ,i o dziwo nie działa Windows zatrzymuje się na ekranie który wyświetla informacje o możliwości uruchomienia albo w trybie awaryjnym ,trybie awaryjnym z możliwością wiersza poleceń itp.

Komputer stacjonarny,nie wiem jak było z aktualizacjami oraz zabezpieczeniami bo to komputer brata.

Nie mam możliwości zrobienia logów.

Zauważyłem że jak wybiorę polecenie uruchom normalnie to ekran robi się czarny wyskakuje niebieski ekran ale nie jestem w stanie przeczytać tam informacji bo następuje restart.

Jeżeli będą potrzebne jakieś informacje to zaraz je udzielę.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Niestety do działu Malware zmierzamy i nie wiadomo czy system wstanie. Z 25 lipca ostatnie ślady czynności w systemie to utworzenie obiektów infekcji, czyli podróbka "Flash Player" jako usługa + services32.exe jako alternatywny interfejs dla powłoki Trybu awaryjnego. Co więcej, są tu komponenty wirusa Sality (który masakruje wszystkie wykonywalne na wszystkich dyskach), czyli sterownik Sality abp470n5 ("not found" to pozory, Sality ładuje się "posektorowo") + przez zaporę przechodził plik z genem Sality + są charakterystyczne dla tego wirusa polisy. Dodatkowo, plik boot.ini jest oznaczony jako modyfikowany tego samego dnia co w/w i nie wiadomo jaka tam zawartość siedzi:

 

[2011/07/25 14:44:45 | 000,000,249 | ---- | M] () -- C:\boot.ini

 

1. W Notatniku zamontuj wstępny skrypt do OTLPE o zawartości:

 

:OTL
DRV - File not found [Kernel | On_Demand] --  -- (abp470n5)
SRV - [2011/07/25 14:44:17 | 001,185,280 | ---- | M] () [Auto] -- C:\Documents and Settings\Ewelina\Moje dokumenty\Pobieranie\Flash-Player.exe -- (wxpdrivers)
O7 - HKU\Ewelina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Ewelina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
[2011/07/25 14:44:39 | 001,185,280 | ---- | C] () -- C:\WINDOWS\services32.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wxpdrivers]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"L:\rjbq.pif"=-
 
:Commands
[emptyflash]
[emptytemp]

Plik zapisz pod nazwą FIX.TXT i udostępnij dla płyty OTLPE. Z poziomu płyty OTLPE uruchom OTL i wybierz Run Fix, a na pytanie o plik skryptu wskaż FIX.TXT. Wynikowy log z usuwania zachowaj do wglądu.

 

2. Przeskanuj wszystkie dyski za pomocą płyty Kaspersky Rescue Disk. Zapisz raport co usuwał bądź leczył.

 

3. Sprawdź czy system startuje. Niezależnie od tego czy tak/nie, zrób nowy skan z OTL (jeśli system nie startuje to via OTLPE, jeśli zastartuje via normalny OTL) ale na warunku dostosowanym. W sekcji Custom Scans/Fixes | Własne opcje skanowania / skrypt wklej co podane niżej i klik w Scan | Skanuj.

 

safebootminimal


safebootnetwork


netsvcs


C:\*.*


D:\*.*


E:\*.*


type C:\boot.ini /C

Dostarcz też wynik przetwarzania skryptu z punktu 1 oraz raport zagrożeń z Kasperskiego z punktu 2.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Poczekaj jeszcze trochę. Jeśli OTL nie będzie wykazywał żadnych znaków życia przez długie minuty, a linie skryptu na dole nie zaczną znikać, przerwij działania i przejdź do punktu 2.

 

EDIT: jeszcze się upewnię, "wkleiłem" oznacza Run Fix + wskazanie pliku FIX.TXT czy wklejenie w oknie dolnym zawartości skryptu i brak jakiejkolwiek akcji?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ten raport z Kasperskiego jakiś dziwny, jakby skombinowany z OTL i ucięty. Porządnie wklejaj raz jeszcze. Na razie tylko tyle wiem, że Sality tu na pewno grasuje, bo punkty Przywracania systemu noszą zainfekowane pliki źródłowe.

 

 

1. Plik boot.ini został sprytnie przekonfigurowany (to musi być robota malware), by wymusić start systemu w Trybie awaryjnym z alternatywną powłoką (która jest aktualnie równa plikowi malware a nie cmd.exe). Dodatkowo: skoro tu jest wykryta obecność Sality, który to kasuje cały Tryb awaryjny, to nie jestem pewna czy klucz awaryjnego jest dostatecznie pełny (może mieć tylko zapisy dodane przez drugie malware), a wtedy oczywiście widziany tu zapis BOOT.INI powoduje niemożność startu.

 

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff /fastdetect /safeboot:minimal(alternateshell)

Z poziomu płyty OTLPE otwórz w Notatniku plik BOOT.INI i wymaż końcówkę /safeboot:minimal(alternateshell), zapisując rzecz jasna zmiany w pliku.

 

2. Powtórka usuwania w OTLPE. Przeklej do Notatnika poniższy skrypt i zapisz jako plik. Plik ten udostępnij środowisku OTLPE. Z poziomu zastartowanego OTLPE uruchom OTL, następnie otwórz ten plik tekstowy i przeklej z niego zawartość wprost do okna Custom Scans/Fixes i klik w Run Fix.

 

:OTL
DRV - File not found [Kernel | On_Demand] --  -- (abp470n5)
SRV - [2011/07/25 14:44:17 | 001,185,280 | ---- | M] () [Auto] -- C:\Documents and Settings\Ewelina\Moje dokumenty\Pobieranie\Flash-Player.exe -- (wxpdrivers)
SafeBootMin: wxpdrivers - C:\Documents and Settings\Ewelina\Moje dokumenty\Pobieranie\Flash-Player.exe () 
SafeBootNet: wxpdrivers - C:\Documents and Settings\Ewelina\Moje dokumenty\Pobieranie\Flash-Player.exe ()
[2011/07/25 14:44:17 | 001,185,280 | ---- | M] () -- C:\WINDOWS\services32.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKU\Ewelina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Ewelina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
IE - HKU\Anna_ON_C\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
IE - HKU\Ewelina_ON_C\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"L:\rjbq.pif"=-
 
:Commands
[emptyflash]
[emptytemp]

3. Próba startu Windows...... Jeśli się uda, natychmiast użyj SalityKiller, a następnie plik pasujący do XP z paczki Sality_RegKeys.

 

4. Nowe logi do wglądu.

 

 

 

.

Odnośnik do komentarza
atasuke

atasuke

Opublikowano
  • Autor
Opublikowano

Na razie sprawa utknęła w martwym punkcie ponieważ nie wiem jakim cudem nie mogę za bootować płyty z OTLP.

Nie wiem czym to może być: Zaczyna czytać płytę po czym załaduje ten pierwszy napis z co wychodzi i ekran staje się czarny.

Wypaliłem płytę jeszcze raz i to samo się dzieje. Sprawdzałem też czy bootoje windows i kasperskiego i to samo.

Czy to może być cd-rom czy coś innego spadło na ten komputer bo już gorzej być nie może.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Na razie sprawa utknęła w martwym punkcie ponieważ nie wiem jakim cudem nie mogę za bootować płyty z OTLP.

Nie wiem czym to może być: Zaczyna czytać płytę po czym załaduje ten pierwszy napis z co wychodzi i ekran staje się czarny.

 

"Sprawdzałem też czy bootoje windows i kasperskiego i to samo." = czyli Kaspersky Rescue Disk też nie bootuje?

 

Czy jest tu możliwość zbootować pendrive? OTLPE czy Kasperskiego (występujące jako gotowce ISO) da się przerobić na USB, tylko istotnym jest czy tu boot z USB jest technicznie wykonalny?

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Pobrany na samym początku OTLPE w postaci EXE rozbij za pomocą 7-zip, tak by pozyskać ze środka plik ISO. Plik ten przemianuj na pebuilder.iso. Zmiana nazwy ma służyć oszukaniu kreatora.

2. Pobierz kreator SARDU (interfejs narzędzia wygląda teraz ciut inaczej niż w opisie, nie miałam czasu dostosować).

3. Podstaw SARDU prawidłowo dwa pliki ISO, OTLPE + Kasperskiego. Program powinien wykryć i automatycznie zaznaczyć te dwa projekty (patrz w karty Windows i Antivirus). I wybierasz jako formę docelową bootowalny USB.

4. W BIOS upewnij się, że USB może bootować i jest pierwszym urządzeniem w kolejce i wio....

 

Opisywaną tu operację z OTLPE podstawionym w SARDU w/w metodą pomyślnie wykonywałam nie tak dawno dla cudzego lapka firmowo bez CD-ROM, w ogóle niebootującego z powodu malware, które podmieniło plik ntfs.sys.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt w OTLPE prawidłowo się wykonał. Oczekuję więc na dalsze wyniki.

 

 

Sality kiler przeskanował wszystkie dyski,ale czy miał wypluć jakiegoś loga

 

Domyślnie nie tworzy loga. By takowy powstał, narzędzie musiałoby być poinstruowane przez przełącznik z linii komend. Istotnym dla mnie jest: czy widziałeś w oknie, że czymś się zajmuje + czy ponowne uruchomienie na pewno zwraca zero wykrytych zainfekowanych plików? Nie można pozostawić ani jednego zarażonego pliku Sality na dysku, bo sprawa się rozkręci na nowo. Ciągle też nie mam pojęcia ile zdołał przetworzyć Kaspersky Rescue Disk we wcześniejszym podejściu, gdyż raport jest zdekompletowany.

 

 

 

 

.

Odnośnik do komentarza
atasuke

atasuke

Opublikowano
  • Autor
Opublikowano

Dokładam logi z ostatniego punktu:

OTL:

http://www.wklej.org/id/567779/

EXTRAS:

http://www.wklej.org/id/567781/

 

A co do salitykiller to widziałem tylko jedną jedynkę na końcu loga coś w rejestrze.Cały czas nad czymś pracował

Za puszcze jeszcze raz sality i zobaczę czy wszędzie będą zera

 

Sprawdziłem jeszcze raz jest czysty Salitykiller nic nie wykrył wszystkie pliki są czyste.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Logi wyglądają obiecująco, nie ma tu ani jednego wpisu malware dla mnie widocznego, a skoro SalityKiller nic już nie mówi, to wygląda na koniec drogi cierniowej. Mniemam, że przypilnowałeś naprawy / weryfikacji czy działa Tryb awaryjny.

 

1. Drobnica sponsoringowa. Do deinstalacji WinAmp Toolbar + ręczne usunięcie tych powielonych na wszystkich kontach folderów po "gościu" w PDF Creatorze:

 

[2009-04-02 20:01:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Anna\Dane aplikacji\pdfforge
[2009-04-02 20:01:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Anna\Dane aplikacji\Search Settings
[2009-04-04 20:15:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ewelina\Dane aplikacji\pdfforge
[2009-04-04 20:15:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ewelina\Dane aplikacji\Search Settings
[2009-04-02 18:58:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\komp\Dane aplikacji\pdfforge
[2009-04-02 18:58:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\komp\Dane aplikacji\Search Settings

2. Typowe akcje likwidacyjne: Sprzątanie w OTL + usunięcie katalogu wygenerowanego przez Kaspersky Rescue Disk C:\Kaspersky Rescue Disk 10.0.

 

3. Czyszczenie folderów Przywracania systemu: INSTRUKCJE.

 

4. W związku z wykrytą obecnością wirusa Sality, który zapewne wszedł z zainfekowanego nośnika USB (wnioski wyciągam po autoryzacji widzianej wcześniej w zaporze systemowej, wskazującej na dalszą literkę L: nośnika), warto zabezpieczyć system opcją Computer Vaccination wyegzekwowaną w Panda USB Vaccine.

 

5. I należy się zabrać za nadrobienie tego defektu:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

Obowiązkowa instalacja bazy: Service Pack 3 + Internet Explorer 8. Po uzupełnieniu podstaw odwiedziny Windows Update i wszystkie krytyczne łatki do nadrobienia.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.5
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ffdshow_is1" = ffdshow [rev 2815] [2009-03-25]
"Google Chrome" = Google Chrome
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
"Mozilla Thunderbird (3.1.10)" = Mozilla Thunderbird (3.1.10)
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

Te softy też do aktualizacji. Nie widzę tu precyzyjnie wersji Adobe Flash + Google Chrome, zweryfikuj status.

 

 

 

.

Odnośnik do komentarza
atasuke

atasuke

Opublikowano
  • Autor
Opublikowano

Tak, jak na razie pracuje nad efektem końcowym. Wypełniając po kolei polecenia które zaleciłaś mi w jednym z powyższych postów.

Dziękuję za pomoc

 

Ps A tyle razu mu tłukłem do głowy jak potrzebne są aktualizacje i sprawnie działający antywir to się śmiał, dobrze że tak to się skończyło bo mogło być gorzej. Ale jak to mówią "Każdy jest kowalem swojego losu tylko nie którzy dostają więcej po głowie".

 

Pojawił się problem w czasie instalacji SP3, nie może zainstalować ponieważ wystąpił wewnętrzny błąd.

Instalowałem z z linku którego mi zalinkowałaś wyżej. Wywala przy sprawdzaniu klucz.

Udało się zainstalowałem SP3 ,po prostu uruchomiłem go z tej płyty ale wybrałem bezpośrednio sam plik SP3 omijając tłuszcz którym był ten plik opakowany.

Wszystkie aktualizacje zainstalowałem zgodnie z procedurą , Widze że komputer nabrał energii i chęci do życia.

Jeszcze raz dziękuję za wszystko co dla mnie zrobiłaś.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...