Kommodus

Po ponad roku wracam do tematy, problem cały czas jest nierozwiązany, do tego doszedł jeszcze ostatnio brak internetu - po podłączeniu kabla sieciowego nie palą się lampki, komputer kompletnie nie reaguje na podłączenie go. Wrzucam aktualny folder Minidump, proszę o dalsze wskazówki. Edit: jednak nie wrzucę, bo nie mam uprawnień do wysyłania plików *.zip. Przeskanowałem TDSS Killer, raport w załączeniu. Raport TDSSKiller.txt

Zzpiowany folder Minidump http://www.sendspace...22e509d59e881e6

Sprawdzanie dysków: na D nie było błędów, na C: pojawiło się takie coś: Jeśli chodzi o MHDD - na razie się wstrzymam - nie mam żadnej wolnej płyty, poza tym nie bardzo rozumiem o czym tam mowa pod linkiem. Mam nadzieję że na razie da się pracować bez tego. McAfee odinstalowany. Ściągnąłem BlueScreenViewera, tutaj plik z tym co wyskoczyło: bluescreenview.txt

1. Nic nie wykrył. 2. Te kroki odnośnie niebieskiego ekranu z błędem też mam zrobić? Ale czy wtedy będę mógł w ogóle włączyć komputer? 3. Jak? 4. Czyli wtedy problemu nie dałoby się tu rozwiązać? 5. Odinstalować? Okres próbny już się skończył, więc i tak się nie przydaje. Zrobione Odnośnie tego OTL, czy powinienem zrobić skan na pliki sprzed 90 dni? Może wtedy coś wykryje?

Witam, Problem wygląda następująco: Podczas uruchamiania się komputera, zanim pojawi się ekran "Zapraszamy" komputer samoczynnie restartuje się i uruchamia od nowa, czasem kilka razy. Następnie pojawia się czarny ekran z białymi napisami: Do wyboru są dwie opcje: Po wybraniu pierwszej następuje "sprawdzanie, czy w systemie nie ma problemów". Pojawia się pytanie "Czy chcesz przywrócić komputer używając przywracania systemu?". To nigdy nie rozwiązywało problemu. Jeśli w odpowiedzi kliknie się Anuluj, pojawia się komunikat Wtedy komputer się wyłącza. Włączając go wszystko zaczyna się od nowa. Problem pojawił się już w grudniu, ale tymczasowo wystarczało wybrać "uruchom system Windows normalnie" i włączał się, choć zwykle dopiero po kilku próbach. Ale to nie rozwiązuje problemu. Poza tym od tego czasu pojawiały się problemy z przeglądarkami, głównie z najczęściej używanym Chromem, pojawiał się jakiś komunikat o błędzie i nie dawało się jej używać. Innym razem żadna przeglądarka nie chciała działać, udało się dopiero po zresetowaniu. Nie wiem, czy ma to jakiś związek. W każdym razie czuje się, że z komputerem jest coś nie tak. Komputer jest domowy, ma do niego dostęp kilka osób, więc nie wiem dokładnie kto co robi. Brat coś wspominał, że jak chciał przeskanować jakimś antywirusem to wyłączał się przed końcem. Ja jestem w domu tylko przez weekend, więc gdyby temat się ciągnął dłużej to będę miał dostęp do tego komputera dopiero za 2 lub 3 tygodnie. Podaję logi z OTL. Skanowanie odnosiło się do plików młodszych niż 30 dni - tu zostawiłem domyślnie, ale nie wiem, czy to wystarczy jeśli problemy zaczęły się w grudniu. OTL.Txt Extras.Txt

Z tym, że to mała ilość wolnego miejsca jest przyczyną spowolnienia komputera bym się nie zgodził, bo 700 MB to taka ilość miejsca którą starałem się utrzymywać na stałym poziomie, bywało już mniej i wcześniej nie było żadnych efektów ubocznych. Może to przez to zainstalowanie konsoli odzyskiwania albo grzebanie w tych sterownikach? Jak by nie było, dziękuję za pomoc przy zwalczeniu wirusa.

Podaję logi z OTL po zrobieniu aktualizacji. OTL.Txt Extras.Txt Nad zwalnianiem więcej miejsca jeszcze będę siedział.

Aktualizacje już zainstalowane albo w trakcie instalowania. Stwierdziłem też, że program Lightscribe jest mi kompletnie niepotrzebny, a że nie widzę nigdzie opcji odinstalowania, zostawię go jak jest. Na razie mam dramatycznie mało miejsca na dysku (ok. 400 MB) - to zawsze był główny powód nie instalowania aktualizacji. Nowsze wersje też długo się ładują i zajmują więcej pamięci, a komputer ma już swoje lata. Usunięcie Kasperskiego powinno zwolnić trochę miejsca, tutaj treść pliku _uninst_39291988.bak - jakby ucięta: _uninst_39291988.txt (plik 1304963.exe uruchamia tego Kasperskiego) Czy to możliwe, że te wirusy, które miałem, podebrały mi hasła? Kilka dni po infekcji nie mogłem się zalogować na swoje konto na Gmailu, musiałem zmieniać hasło (na pewno było dobrze wpisywane, a z logowaniem na inne konto na Gmailu nie było problemu) - to mogło być efektem infekcji? Jednocześnie "ostatnia wizyta" wskazywała na moje logowanie, więc nie wiem czy hasło zostało w jakiś sposób zmienione, czy to były tylko chwilowe problemy Google'a.

Dell Latitude C400 Z folderu na pulpicie uruchomiłem instalatora, który nie pytał gdzie zainstalować program, tylko od razu uruchomił skanera. Po pierwszym restarcie nie chcąc od nowa włączać instalatora i czekać aż program się uruchomi, poszukałem plików utworzonych tego dnia i tam znalazłem w folderze "temp" tego właśnie Kasperskiego. Stamtąd go od tej pory uruchamiam. Od czasu gdy użyłem Kasperskiego komputer strasznie wolno się uruchamia. Trudno mi powiedzieć, czy jest tak od czasu "zainstalowania" go, czy od momentu "wyleczenia" znalezionych infekcji. Czasami przy włączaniu komputera pojawia się niebieski ekran z błędem "BAD POOL CALLER" i muszę włączać od nowa. Zauważyłem, że w Autostarcie pojawił się wpis _uninst_39291988, obrazek: "Plik wsadowy MS-DOS" _uninst_39291988.bat jest w folderze tymczasowym w którym są pozostałe pliki Kasperskiego, ma też datę, która wskazuje, że pojawił się tam razem z nimi. Nie widać żadnego innego pliku, który miałby w nazwie coś z deinstalacji. Nie chciałem też jeszcze odinstalowywać zanim nie będę pewny, że wszystko z "wyleczonymi" plikami jest OK.

Wszystko zostało wyleczone. Żeby zaoszczędzić jakieś 3 godziny, na tą chwilę przeskanowałem jeszcze raz tylko te foldery, w których coś się pojawiło. Raport po leczeniu Raport po leczeniu.txt Zauważyłem np. że pliki .exe w folderze C:\Program Files\Dell\OpenManage\Client, które były na liście, straciły swoje ikonki, a pojawia się tylko standardowa dla aplikacji . Poza tym miałem wrażenie, że zawsze były włączone w Menedżerze zadań, a teraz nie są. Czy to ma jakieś znaczenie? Jak odinstalować tego Kasperskiego (wersja 11.0.0.1245 - nie pyta o deinstalację przy wyłączaniu), którego od pierwszego uruchomienia uruchamiałem z jakiegoś tymczasowego folderu, w którym go znalazłem (...Ustawienia lokalne\temp\9120318)? Mam po prostu ręcznie skasować dwa tymczasowe foldery, które utworzył? Przy niektórych plikach pojawił się status Deleted, jeden plik trafił do kwarantanny. Powinienem zrobić kopie tych plików, zanim zostaną usunięte? Gdzie ich szukać?

Przeskanowałem Kasperskym, wyszło sporo wyników. Przy pierwszym wykrytym zagrożeniu kliknąłem "disinfect", później zaczęły się pojawiać kolejne, których już nie ruszałem, bo wszystkie wydawały się wskazywać na procesy, które są zawsze włączone w Menedżerze zadań, a nie chciałem przez przypadek usunąć czegoś, czego nie powinienem. Detected threats.txt

Proszę bardzo, logi z OTL i GMERa OTL.Txt Extras.Txt GMER log.txt

Już jestem zalogowany . Po zalogowaniu się do głównego konta administratora pojawił się kończący swoje działanie ComboFix. Podaję wygenerowanego loga: ComboFix log.txt Rozumiem, że teraz powinienem przejsc do...? Odnosnie OTL: Czyli zostawic zaznaczone wszedzie "Użyj filtrowania", tak jak jest automatycznie? Czy ustawic wszystko tak jak jest w tym temacie https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/#1

Gdy kliknę w którekolwiek z kont, pojawia się z początku napis "ładowanie ustawień osobistych", a po chwili komunikat Gdy kliknę na "Nie", wylogowuje mnie Gdy kliknę na "Tak", przechodzę do okna takiego jak tutaj: http://files.myopera.com/Pavel84/blog/sphack4.jpg

OTL po fixie: Copy of 08212011_012527.txt Myszka i klawiatura już działają . Wolę się jeszcze zapytać - po wpisaniu hasła pojawia się okno "Aktywacja produktu Windows": Zanim będzie można wykonać logowanie, ta kopia systemu Windows musi być aktywowana w firmie Microsoft. Czy chcesz teraz aktywować system Windows? Tak/Nie To normalne, że takie coś się pojawia? Kiedy przez dwa dni nie miałem dostępu do internetu ani nie mogłem się zalogować do systemu, wchodziłem do konsoli odzyskiwania i użyłem polecenia bootcfg. Dodałem niepotrzebnie do listy jeszcze raz windows xp pod głupią nazwą, który teraz przy starcie systemu jest zaznaczony automatycznie. Jest możliwość usunięcia tego wpisu z listy? Czy to ma coś wspólnego z komunikatem, jaki pojawił mi się przy logowaniu? (teraz zaznaczyłem normalnego Windowsa) Edit: Wychodzi na to, że nie mogę się zalogować. Jeśli byłaby potrzebna płyta z Windowsem, to nie mam jej - system nie był instalowany przeze mnie.

Podaję loga z OTLPE po wklejeniu tych instrukcji. OTL.txt Powinienem się przyznać, że ComboFixa włączyłem trochę wcześniej, ale musiałem gdzieś wyjść i go wyłączyłem. Wtedy na niebieskim ekranie pojawiały się komunikaty "Odmowa dostępu". Po drugim włączeniu przez wszystkie etapy Combofix już przeszedł normalnie i pojawiło się wykryte zagrożenie ZeroAccess, ale po resecie nie reagował. Załączam jeszcze parę screenów z folderu Qoobox/Quarantine - część z plików pojawiła się tam przy pierwszym uruchomieniu ComboFixa, część przy drugim. Załączam też plik catchme.log z tego folderu. Może coś się przyda. catchme.txt W Combofix.txt jest tylko info o uruchomieniu. ComboFix.txt Plik Combofix.txt pojawil sie w folderze CF1, z ktorego drugi raz uruchamialem Combofixa. Pojawilo sie w nim sporo plikow, daje przyklad na screenie.

Odnośnie Dr. Web LiveCD: Zatrzymuje się przy Load module: pata_qdi czasem przechodzi przez ten krok ale zatrzymuje się na następnym Load module: pata_radisys Ostatnio też pojawiło się też: Load module: pata_qdi Floating point exception Load module: pata_radisys Odnośnie folderu drivers: Skopiowałem na pendrive'a, przeskanowałem Kasperskym Virus Removal Tool 2010, nie wykrył żadnych zagrożeń, podaję raport w załączniku. Podczas skanowania zainstalowany na sprawnym komputerze McAfee wykrył na tym przenośnym dysku trojana B.BAT (001.jpg) - nie wiem, czy ma to coś wspólnego z przenoszeniem plików między tymi komputerami? Mam przejść do...? Kaspersky VRT.txt

Tak Tzn. mogę wybrać któryś z tych sposobów? Jeśli nie, to przy drugim podpunkcie jakiego antywirusa najlepiej użyć, bo różnie to bywa z wykrywaniem?

Po wybraniu w Kaspersky Rescue Disk Graphic Mode na czarnym ekranie pojawiają się: ERROR: Unable to locate IOAPIC for GSI 12 (i dla 1, 8, 13, 6 i 4). Loading modules: ... i zatrzymuje się przy Scanning for pata_netcell... Próbowałem 3 razy, i wydaje mi się, że czekałem wystarczająco długo - nic nie rusza. Można to jakoś ominąć? Co mam teraz zrobić?

Podaję loga z OTLPE. Chociaż zaznaczone było "automatically load all remaining users", nie wiem, czy jest z całości, bo nie widzę w nim nazwy głównego konta. OTL.txt

Wygląda dość skomplikowanie. Biorąc pod uwagę, że działanie mojego jedynego portu USB pozostawia wiele do życzenia (wystarczy lekki ruch i podłączone urządzenie się rozłącza; komputer ma wiele wad i wiem, że powinienem go jak najszybciej zmienić), chyba lepiej będzie, jak spróbuję normalnie z płyty CD, czyli dopiero jutro. OK, przygotuję te dwie płyty.

Teraz nie mam przy sobie napędu CD, będę musiał pojechać po niego do innego miasta (mam nadzieję, że jeszcze działa), a to dopiero jutro. Dałoby się to zrobić z użyciem USB? Mam tylko jeden port. I jeszcze pytanie, czy nie ma zagrożenia że przy przenoszeniu na pendrivie pliku z logiem coś z infekcji się przeniesie na inny komputer?

Witam, Podczas skanowania ComboFixem okazało się, że mój system jest zarażony rootkitem ZeroAccess. Po automatycznym zrestartowaniu, gdy pojawiły się nazwy kont użytkowników, nie można było już ruszyć myszką (czy raczej touchpadem), klawiatura też nie działa. Wcześniej próbowałem użyć jakichś antywirusów, ale wyłączały się w trakcie działania. Po jednokrotnym użyciu programu OTL musiałem ściągać go od nowa, bo nie dawał się już włączyć. (Mój problem i próby naprawy są tutaj: http://forum.pclab.pl/topic/718012-Zara%C5%BCony-komputer-antywirusy-blokowane/) Nie wiem czy się przydadzą, ale wtedy OTL wygenerował mi takie logi: a) z konta nie będącego głównym kontem (główne szwankowało na tyle, że ciężko było włączyć jakikolwiek program), chociaz majacego uprawnienia administratora: załącznik a-OTL.txt i a-Extras.txt Próby wpisywania i zatwierdzania proponowanych mi skryptów nie przynosiły rezultatów. Jak pisałem na podanym forum: Zatwierdziłem wykonanie skryptu, podczas niego znikły wszystkie ikony i paski, zostało samo tło i kursor. Gdy przez jakieś 2-3 minuty nie było widać ani słychać, by coś się działo (menedżer zadań na to nie wskazywał), zresetowałem komputer uznając, że nic się już nie wydarzy Po restarcie nie pojawił się żaden raport b ) log z głównego konta administratora załącznik b-OTL.txt Po nieudanych próbach z OTL użyłem ComboFixa, co wywołało taki skutek, że nie mogę się nawet zalogować do systemu. Mam Windowsa XP. Nie mogę podać teraz żadnych nowych logów (a przynamniej nie wiem, jak). Na ten moment mogę chyba tylko działać w konsoli odzyskiwania systemu? Proszę o porady od czego powinienem teraz zacząć, żeby przywrócić możliwość pisania na klawiaturze i ruszania kursorem i pozbyć się ostatecznie wirusa. a-OTL.txt a-Extras.txt b-OTL.txt