Laptop spowolnił + brak internetu

[pakeroso]

Witam! Znajomy poprosił mnie o pomoc przy lapku. System uruchamia się dosyć długo i zamula, nie ma dostępu do internetu, przy uruchomieniu iPlusa wyłącza się zapora, nie da się przeinstalować Kaspersky'ego, system nie chce się wyłączyć.

 

OTL:

http://www.wklej.eu/index.php?id=0df8109155

Extras:

http://www.wklej.eu/index.php?id=92a476b8a8

GMER:

http://www.wklej.eu/index.php?id=0d22081c3c

Security Check:

http://www.wklej.eu/index.php?id=dfd2285745

 

Czyli chyba jednak format będzie najlepszym rozwiązaniem

Edytowane 21 Września 2010 przez picasso
Posty połączone. //picasso

[picasso]

Log z GMER robiony w nieprawidłowych warunkach - działa w tle emulacja napędów wirtualnych (ogłoszenie).

 

DRV - [2009-06-18 12:00:33 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Oceniając wszystkie logi: nie widzę tu śladów czynnej infekcji, a jedyne co jest niejasne, to zawartość ukrytego pliku autorun.inf na urządzeniu USB:

 

O32 - AutoRun File - [2004-04-30 13:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ]

 

Poproszę o log z USBFix z opcji Listing.

 

nie ma dostępu do internetu, przy uruchomieniu iPlusa wyłącza się zapora

 

Widzę tu m.in. następujące błędy w Dzienniku zdarzeń, świadczące o niemożności startu odgórnego sterownika AFD:

 

# Error - 2010-09-20 13:01:08 | Computer Name = JERZY-1CEB466A1 | Source = Service Control Manager | ID = 7001
# Description = Usługa Klient DHCP zależy od usługi AFD, której nie można uruchomić
# z powodu następującego błędu:  %%31
#  
# Error - 2010-09-20 13:01:08 | Computer Name = JERZY-1CEB466A1 | Source = Service Control Manager | ID = 7001
# Description = Usługa Pomoc TCP/IP NetBIOS zależy od usługi AFD, której nie można
# uruchomić z powodu następującego błędu:  %%31
 
# Error - 2010-09-20 13:01:20 | Computer Name = JERZY-1CEB466A1 | Source = Service Control Manager | ID = 7000
# Description = Nie można uruchomić usługi AFD z powodu następującego błędu:  %%2001
#  
# Error - 2010-09-20 13:01:20 | Computer Name = JERZY-1CEB466A1 | Source = Service Control Manager | ID = 7001
# Description = Usługa Rozpoznawanie lokalizacji w sieci (NLA) zależy od usługi AFD,
# której nie można uruchomić z powodu następującego błędu:  %%2001 

 

Start > Uruchom > eventvwr.msc i z prawokliku na gałąź SYSTEM wyeksportuj ją do nowego pliku EVT. Plik zapakuj do ZIP i shostuj gdzieś do wglądu.

 

nie da się przeinstalować Kaspersky'ego

 

To znaczy? Nie widzę w logu żadnych śladów Kasperskiego, więc pewnie masz na myśli, że jego instalacja nastęcza trudności. Proszę o więcej szczegółów.

 

Kurcze, nie mogę nawet zrobić formata, bo instalator nie widzi dysku

 

Typowa sprawa: brak sterowników SATA. Płyty XP są archaiczne i nie mają dostatecznego repozytorium sterowników. Sprawę obchodzi się w następujące sposoby:

1. Zrobienie nowej CD XP ze zintegrowanymi sterownikami SATA (tu widzę kontroler Intel = SATA do pobrania ze strony Intel), np. przy udziale narzędzia nLite.

2. Obejście przez tymczasowe przestawienie na czas instalacji XP w BIOS trybu pracy dysków z SATA/AHCI na standardowy.

 

EDIT:

 

Czyli chyba jednak format będzie najlepszym rozwiązaniem

 

Zamieniłeś teksty. Nie, ja nie sądzę, że format jest "najlepszym rozwiązaniem".

 

 

PS. I uprzejmie Cię proszę o niepodbijanie tematów. Brak natychmiastowej odpowiedzi jest dyktowany np. brakiem obecności lub czasu, by się zająć analizą problemu.

 

 

.

[pakeroso]

USBFix:

http://www.wklej.eu/index.php?id=37f3c63630

 

GMER:

Rootkit scan 2010-09-21 17:05:34

Windows 5.1.2600 Dodatek Service Pack 3

Running: Gmer 1.0.15.15281.exe; Driver: C:\DOCUME~1\Jurek\USTAWI~1\Temp\kwrorpob.sys

 

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x0C 0x23 0x1A 0x2C ...

 

---- EOF - GMER 1.0.15 ----

 

Systemowy .evt

http://cid-253f126fb63218fd.office.live.com/self.aspx/.Public/1.evt

 

 

Co dziwne nie tylko IPlus nie działa, ale i net z kabla także nie chce zaskoczyć.

Z Kasperskym (wersja 2011) jest ten problem, że proces instalacji po prostu się nie kończy (mogę czekać godzinę), wcześniej był KIS 2010 i to jego próbuje przeinstalować.

 

A zamieniłem teksty, bo szybko sobie przypomniałem, że trzeba posiadać swój sterownik kontrolera dysku i nie można już było usunąć posta

[picasso]

USBFix - nie widzę problemu. Mimo, że OTL zasugerował mi przez partycję FAT32 + rozmiar urządzenie przenośne, to nie jest ten typ. W logu z USBFix są większe detale (włączając nazwę woluminu). Widać, że D to jest partycja Recovery, toteż plik autorun.inf w postaci ukrytej nie jest zjawiskiem dziwnym. Podsumowując: nie ma tu żadnych znaków infekcji.

 

Co dziwne nie tylko IPlus nie działa, ale i net z kabla także nie chce zaskoczyć.

 

Tu w ogóle nie działa system sieci w Windows (nie startuje sterownik AFD, który jest zależnością dla usług sieciowych), toteż raczej nie należy się spodziewać pozytywnych wyników. Przechodząc do analizy Dziennika, te błędy sterownika sieciowego AFD punktują cały czas frazę "The specified driver is invalid."

 

1. Poproszę o raport z SystemLook. W oknie wklej poniższy tekst, kliknij w Look.

 

:filefind
afd.sys

 

2. Na wszelki wypadek wykonaj także log w narzędziu Kaspersky TDSSKiller. Jeśli coś zostanie wykryte, nic nie naprawiaj (wszystko ustaw na Skip).

 

 

PS. I nie stosuj tagu CODE do ujmowania raportów. Tag w tej wersji forum ma matrycę kolorowania i raport to wizualna "sieczka". Jeśli już, to zastosuj czysty odpowiednik, który stworzyłam, czyli CODEPLAIN. Naniosłam stosowną poprawkę w poście wyżej.

 

 

.

[pakeroso]

SystemLook:

SystemLook 04.09.10 by jpshortstuff

Log created at 18:46 on 21/09/2010 by Jurek

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "afd.sys"

C:\WINDOWS\system32\dllcache\afd.sys -----c- 138496 bytes [12:00 15/04/2008] [10:04 14/08/2008] 7E775010EF291DA96AD17CA4B17137D7

C:\WINDOWS\system32\drivers\afd.sys --a---- 138496 bytes [12:00 15/04/2008] [10:04 14/08/2008] CCF737E2D9DEDEA3F601D70EEF70CD49

 

-= EOF =-

 

Kaspersky TDSSKiller:

http://www.wklej.eu/index.php?id=3f9d9db22b

[picasso]

Mimo że pozornie jest taka sama data i waga, pliki afd.sys między sobą mają różną sumę kontrolną, a oba powinny być identyczne. Dodatkowo, ich sumy kontrolne nie zgadzają się z przeliczeniem sumy wykonanym na mojej kopii pliku w rozpakowanym SP3, który to plik zresztą ma inną wagę 138 112 bajtów. Plik będziemy zamieniać do obu lokalizacji na raz.

 

1. Pobierz plik wyekstraktowany z SP3 PL: KLIK. Ulokuj go sobie na C:\, ta lokalizacja będzie w komendach.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\system32\dllcache\afd.sys|C:\afd.sys /replace
C:\WINDOWS\system32\drivers\afd.sys|C:\afd.sys /replace

 

Uruchom przez Wykonaj skrypt. Po restarcie otrzymasz log z tej akcji.

 

3. Po operacji ponownie podaj raport z SystemLook.

 

 

.

[pakeroso]

Załączony plik jest uszkodzony, albo nie chce się poprawnie pobrać, ale mam swojego afd.sys

 

[systemLook 04.09.10 by jpshortstuff

Log created at 19:32 on 21/09/2010 by Jurek

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "afd.sys"

C:\afd.sys --a---- 138112 bytes [22:49 13/04/2008] [22:49 13/04/2008] 322D0E36693D6E24A2398BEE62A268CD

C:\WINDOWS\system32\dllcache\afd.sys --a--c- 138112 bytes [12:00 15/04/2008] [22:49 13/04/2008] 322D0E36693D6E24A2398BEE62A268CD

C:\WINDOWS\system32\drivers\afd.sys --a---- 138112 bytes [12:00 15/04/2008] [22:49 13/04/2008] 322D0E36693D6E24A2398BEE62A268CD

 

-= EOF =-

 

Zapora już działa, Internet jednak nie (przeglądarki), pomimo, że karta sieciowa ma swoje IP.

[picasso]

Załączony plik jest uszkodzony, albo nie chce się poprawnie pobrać, ale mam swojego afd.sys

 

Nie jest uszkodzony. Pobrałam z linka i rozpakowałam. Plik ma identyczne prametry jak przed pakowaniem. Wniosek: coś przeszkodziło na Twoim komputerze pobrać to archiwum.

 

Plik podstawił się prawidłowo. Teraz jest dobra suma kontrolna.

 

Internet jednak nie (przeglądarki), pomimo, że karta sieciowa ma swoje IP.

 

Wykonaj test czy internet działa w przeglądarce niezależnej od tych zainstalowanych i portable, np. Opera USB. To ma na celu ograniczyć moje poszukiwania.

 

 

.

[pakeroso]

Niestety Opera USB również nie działa.

[picasso]

Spróbuj rozpocząć od narzędzi Fix It resetujących stack TCP/IP i Winsock: KB299357 + KB811259.

[pakeroso]

Nie pomogło.

[picasso]

Może tu jest więcej plików uszkodzonych. Póki co, w Dzienniku zdarzeń wyczyść z PPM gałązkę System, wykonaj pełny reset systemu, a następnie zgraj mi do pliku EVT nowo nagraną zawartość. Zobaczymy czy nie pojawią się jakieś nowe błędy.

 

 

PS. Co do tego afd.sys jeszcze, uzupełniający komentarz. deFco247 dosłał mi na PW informację, że u niego w XP SP3 ten plik był w wyższym buildzie niż ten w instalatorze SP3, i odpowiadał tej kopii w dllcache:

 

C:\WINDOWS\system32\dllcache\afd.sys	-----c- 138496 bytes	[12:00 15/04/2008]	[10:04 14/08/2008] 7E775010EF291DA96AD17CA4B17137D7

 

Tak więc ta kopia była prawidłowa. Ta w drivers nie.

 

 

.

[pakeroso]

http://cid-253f126fb63218fd.office.live.com/self.aspx/.Public/2.evt

[picasso]

Zupełnie nic mi nie mówi Dziennik. Są tylko dwa odczyty: błąd ID 17 związany z DNS serwera czasu oraz informacyjny ID 20159 z RemoteAccess = typowy gdy się rozłącza urządzenie typu modem. Czyli zachodzi tu schemat prawie natychmiastowego samorozłączania bez wyraźnej przyczyny. Pytanie: czy alternatywne połączenie kablowe także ma ten sam defekt braku siedzi?

 

Wyszukaj mi jeszcze w SystemLook zestawienie wersji pliku ipnat.sys.

[pakeroso]

Na kablu jest to samo, karta ma IP, a przeglądarki nie chodzą, w dzienniku zdarzeń nic nowego się nie pojawia.

 

SystemLook 04.09.10 by jpshortstuff

Log created at 22:25 on 21/09/2010 by Jurek

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "ipnat.sys"

C:\WINDOWS\system32\dllcache\ipnat.sys --a--c- 152832 bytes [12:00 15/04/2008] [12:00 15/04/2008] CC748EA12C6EFFDE940EE98098BF96BB

C:\WINDOWS\system32\drivers\ipnat.sys --a---- 152832 bytes [12:00 15/04/2008] [12:00 15/04/2008] CC748EA12C6EFFDE940EE98098BF96BB

 

-= EOF =-

 

 

a może jakieś porty się poblokowały?

 

//EDIT//

Właśnie udało mi się zainstalować Kaspersky'ego i pobrać aktualizacje, przeglądarki dalej nie działają.

[picasso]

Skoro błędów nie ma, a wygląda na to że samo się łączy rozłącza ekspresem, to może zweryfikuj jeszcze:

 

 

1. Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

 

Wartość Autodisconnect. U mnie jest ta wartość ustawiona w trybie dziesiętnym na 15. Jak ją konfigurować, jest tutaj: KLIK / KLIK.

 

 

2. Pokaż mi jeszcze listę konfiguracji usług Windows. Wyprodukuj log z OTL na następujących ustawieniach: Usługi ustaw na Wszystko, pozostałe sekcje na Brak + listowanie plików na Żadne.

 

 

EDIT:

 

Właśnie udało mi się zainstalować Kaspersky'ego i pobrać aktualizacje, przeglądarki dalej nie działają.

 

Hmmm, to znaczy, że nie działają tylko przeglądarki, a inna aktywność sieciowa się odbywa?

 

 

.

[pakeroso]

Autodisconnect również mam 15, innej niż Kaspersky aktywności nie ma - programy się nie aktualizują, Winamp nie odtwarza radia, Outlook nie wysyła maili.

 

OTL:

http://www.wklej.eu/index.php?id=6a6ebfb858

[picasso]

Wszystkie usługi są prawidłowo skonfigurowane.

 

innej niż Kaspersky aktywności nie ma

 

Ale jednak Kaspersky się połączył do sieci i zaktualizował, co sugeruje działanie jakiegoś proxy tutaj. Był taki temat na forum już KLIK, tylko tu wykluczyłam tę możliwość od razu, bo w OTL wartość ProxyEnable w IE jest na 0 oraz sprawdzałam wersję portable Opery.

 

1. Kolejne pytania: co jest ustawione jako IP we Właściwościach połączeń sieciowych? Podaj do wglądu wyniki z polecenia ipconfig /all.

2. Panel sterowania > Połączenia sieciowe > z menu Zaawansowane wybierz pozycję ustawień zaawansowanych, zrób do wglądu zrzuty ekranu z kart bindowania i kolejności dostawców.

3. Wybiórczo do wglądu ten artykuł: KB314095.

 

 

 

.

[pakeroso]

Konfiguracja IP systemu Windows

 

Nazwa hosta . . . . . . . . . . . : jerzy-1ceb466a1

Sufiks podstawowej domeny DNS . . . . . . :

Typ węzła . . . . . . . . . . . . : Nieznany

Routing IP włączony . . . . . . . : Nie

Serwer WINS Proxy włączony. . . . : Nie

 

Karta PPP Urzadzenie iPlus:

 

Sufiks DNS konkretnego połączenia :

Opis . . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Adres fizyczny. . . . . . . . . . : 00-53-45-00-00-00

DHCP włączone . . . . . . . . . . : Nie

Adres IP. . . . . . . . . . . . . : 95.41.171.66

Maska podsieci. . . . . . . . . . : 255.255.255.255

Brama domyślna. . . . . . . . . . : 95.41.171.66

Serwery DNS . . . . . . . . . . . : 212.2.96.54

212.2.96.52

Podstawowy serwer WINS. . . . . . : 10.11.12.13

Pomocniczy serwer WINS. . . . . . : 10.11.12.14

NetBIOS przez Tcpip . . . . . . . : Wyłączony

 

 

W każdym połączeniu jest to samo (Połączenia dostępu zdalnego jest puste)

[picasso]

Patrząc na kartę bindowania w połączeniu z tym ustępem: NetBIOS przez Tcpip . . . . . . . : Wyłączony:

 

1. Start > Uruchom > devmgmt.msc: z menu Widok zaznacz opcję Pokaż ukryte urządzenia. Na liście pojawi się pozycja Sterowniki niezgodne Plug'n'Play. Wyszukaj na tej liście pozycję NetBIOS przez TCP/IP, wejdź do karty Sterownik i popatrz jaki status jest dla tej usługi. Dla włączonego ma być: Typ startowy ustawiony na System, a sterownik zastartowany. Jeśli poczynisz tu jakieś zmiany, zresetuj komputer.

 

2. W Panel sterowania > Połączenia sieciowe > Właściwości danego połączenia > podświetlony protokół TCP/IP i pobrane jego Właściwości > Zaawansowane > karta WINS i co tam jest ustawione w sekcji NetBIOS?

[pakeroso]

NetBios przez TCP/IP - Stan: Uruchomiony, Typ: Systemowy, na karcie WINS jest "Włącz system NetBIOS przez TCP/IP".

[picasso]

W każdym połączeniu jest to samo

 

vs.

 

na karcie WINS jest "Włącz system NetBIOS przez TCP/IP".

 

Sprawdziłeś to dla każdego z połączeń z osobna?

[pakeroso]

Teraz sprawdziłem dla pozostałych, jest w nich opcja "Domyślne".

[picasso]

Spróbuj ją przestawić z "Domyślne" na "Włącz system NetBIOS przez TCP/IP" + restart systemu. Jeśli to nic nie pomoże, przywróć poprzednie ustawienia.

[pakeroso]

Niestety bez zmian.