Przekierowania na dziwne stronki

[htw]

Witam

 

od razu sie przyznam ze uzyłem programu Combofix .... czytalem instrukcje jak robic i czym robic logi ale bylo juz po fakcie

 

wiec bardzo przeproszam ale bez combo w ogole by mnie tu nie przywiało bo z tamtej strony

 

(http://www.bleepingcomputer.com) trafilem wlasnie tutaj ale do rzeczy.

 

Posiadam Windows 7 ( 32bit ) wersja jest jak najbardziej orginalna. Moj problem polega na bardzo dziwnym ostatnio

 

zachowywaniu sie mojego peceta.Generalnie pierwsza dziwna rzecz jaka mnie zaniepokoiła to brak mozliwosci uzywania Windows

 

Update, pozniej zaczelo sie coraz weselej bo co drugie wlaczenie komputerka zaczol pojawiac sie podczas uruchamiania BSOD

 

(Memory_mangament) - oczywiscie testy sprzetu wypadlu pozytywnie wiec wydaje mi sie ze to sprawa czegos co sie u mnie

 

zagniezdziło.Trzeci najbardziej podejrzany symtom pojawil sie stosunkowo niedawno a chodzi o praktycznie notoryczne

 

przekierowania na jakies podejrzane linki do stron.

 

oto przyklad :

 

 

ale to tylko fragment bo przekierowania np na casino online to tez ostatniochleb powszedni

 

 

 

Programy ktorych uzywalem do ewentualmej dezynfekcji :

 

- Malwarebytes' Anti-Malware ( nic nie wykrył )

- Spybot ( nic nie wykrył )

- no i oczywiscie Combofix .. wykrył rookita ale chyba sobie z nim nie poradził

- uzywalem rozniez hijackthis i cos tam podchaczalem ale bez skutku

 

oto logi z obowiazkoach programow

 

LOG OTL

 

http://wklej.org/id/393736/txt/

 

Extras

http://wklej.org/id/393738/txt/

 

LOG GMER

 

http://wklej.org/id/393740/txt/

 

 

 

 

 

Combofix bo wg intrukcji trzeba podac tak czy siak

 

http://wklej.org/id/393741/txt/

 

Security Check

 

Results of screen317's Security Check version 0.99.5

Windows 7 (UAC is disabled!)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

Wise Registry Cleaner Free 5.61

Auslogics Registry Cleaner

Java 6 Update 21

Adobe Flash Player 10.1.85.3

Adobe Reader 9.3.4

````````````````````````````````

Process Check:

objlist.exe by Laurent

Spybot Teatimer.exe is disabled!

````````````````````````````````

DNS Vulnerability Check:

GREAT! (Not vulnerable to DNS cache poisoning)

 

``````````End of Log````````````

 

 

 

mam nadzieje ze podalem wszystko jak jest wymagane przez to forum, jesli cos pominąłem to wybaczcie aha dodatkowo musze powiedziec ze moja ulubiona ostatnio przegladarka Chrom przestala dzialac, nie wiem czy to jest zwiazane z tematem bo inne dzialaja bez problemowo ale wole o tym napisac ( odinstalowanie itp nie pomagaja )

 

Instalujac Chrom pokazalo mi blue screen'a pozniej nie moglem odpalic kompa bo pokazal sie kolejny ale za trzecim razem sie udalo, a co do bledu jesli nie ma BSOD to mam doczynieniea z bledem typu Error 0xc00000005 i nie ma mozliwosci zaladowania strony aha wszystkie opcje jesli chodzi o wskazowki do odpalenia chroma przerabialem

[Landuss]

Programy ktorych uzywalem do ewentualmej dezynfekcji :

 

- Malwarebytes' Anti-Malware ( nic nie wykrył )

 

Mbam nie pomoże bo po pierwsze sam został już zainfekowany a po drugie tu jest infekcja biorąca się za pliki exe uruchamiane w autostarcie.

 

Wklej do notatnika taki tekst:

 

RenV::
c:\program files\cFosSpeed\cFosSpeed .exe
c:\program files\Common Files\Java\Java Update\jusched .exe
c:\program files\Logitech\Logitech WebCam Software\LWS .exe
c:\program files\Malwarebytes' Anti-Malware\mbam .exe
c:\program files\Nokia\Nokia PC Suite 7\PCSuite .exe
c:\program files\Skype\Phone\Skype .exe
 
File::
c:\windows\system32\~.tmp
c:\programdata\gFr3Y2PR8.dat
C:\Users\Maja\AppData\Local\Temp*.html
 
Driver::
HLTEAHI
GY
DUV
.1254677016
 
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesTrayAgent"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

 

Wklejasz nowy log z ComboFix i nowe logi z OTL.

 

 

 

[htw]

Oto logi :

 

Combofix

 

http://wklej.org/id/394028/txt/

 

OTL

 

http://wklej.org/id/394029/txt/

 

Extras

 

http://wklej.org/id/394030/txt/

 

GMER

 

http://wklej.org/id/394031/txt/

[Landuss]

Powtórz skrypt do ComboFix o następującej treści:

 

RenV::
c:\program files\Skype\Phone\Skype .exe

 

Kontrolnie nowy log juz tylko z ComboFix.

[htw]

oto log z Combofixa :

 

http://wklej.org/id/395520/txt/

 

 

genaralnie problemy, ktore byly sa jak dawniej czyli Windows Update zglasza blad chrom nie odpala stron i podczas startu losowo pojawiaja sie okienka smierci ...... aha podczas odpalanie combofixa mialem oczywiscie ze dwa razy blue screeny

 

czekam na dalsze wskazówki

[Landuss]

Skrypt się nie wykonał dlatego:

 

Użyto następujących komend :: c:\users\Maja\Desktop\CFScript.txt.txt

 

O jedno .txt za dużo więc popraw to i wykonaj co trzeba.

 

Załącz kilka najnowszych zrzutów zrzutów pamięci z C:\Windows\Minidump. Możesz jeszcze wykonać log z MBRCheck

 

Windows Update zglasza blad

 

Napisz dokładnie co to za błąd.

 

 

 

[htw]

Wiec :

 

nowy log z Combofixa :

http://wklej.org/id/396039/txt/

 

 

log z BSOD

http://wklej.org/id/396040/txt/

 

 

log z MBRCheck

http://wklej.org/id/396042/txt/

 

 

chrom rowniez nie działa oraz windows update, a blad na windows update to blad - 80072EFE ( oczywiscie wylanczanie na 15 min i resetowanie uslugi WinUpdate wg instarukcji M$ bylo robione )

[picasso]

Instalujac Chrom pokazalo mi blue screen'a pozniej nie moglem odpalic kompa bo pokazal sie kolejny ale za trzecim razem sie udalo, a co do bledu jesli nie ma BSOD to mam doczynieniea z bledem typu Error 0xc00000005 i nie ma mozliwosci zaladowania strony aha wszystkie opcje jesli chodzi o wskazowki do odpalenia chroma przerabialem

 

(...)

 

chrom rowniez nie działa oraz windows update, a blad na windows update to blad - 80072EFE ( oczywiscie wylanczanie na 15 min i resetowanie uslugi WinUpdate wg instarukcji M$ bylo robione )

 

BSOD źle zdebugowany, nie załadowane symbole. Wstrzymuję się jeszcze przed poszukiwaniem w innych obszarach. Te błędy są związane z działaniem połączenia sieciowego i dopóki nie zostaną wycięte wszelkie widzialne odnośniki infekcji, nie ma co brać się za inne rzeczy.

 

 

 

1. To co mi się rzuciło w oczy, w pierwszym i drugim OTL jest ten falsyfikat:

 

SRV - [2004-08-17 20:00:00 | 000,073,748 | -H-- | M] () [Auto | Running] -- C:\Windows\System32\FastUserSwitchingCompatibilityex.dll -- (FastUserSwitchingCompatibility)
 
[2004-08-17 20:00:00 | 000,073,748 | -H-- | C] () -- C:\Windows\System32\FastUserSwitchingCompatibilityex.dll

 

To trojan. Takiej usługi nie ma na Windows 7 (nazwa usługi jest charakterystyczna dla XP), a plik jest ukryty i datowany na 2004. Nie widzę etapu, gdzie ta usługa została usunięta, a ComboFix jej nie widzi (nie listuje jako usługi wtórnej) w żadnym z podejść, mimo że równocześnie są podawane logi z OTL ją pokazujące. Zabieramy się za usuwanie. Uruchom OTL i sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2004-08-17 20:00:00 | 000,073,748 | -H-- | M] () [Auto | Running] -- C:\Windows\System32\FastUserSwitchingCompatibilityex.dll -- (FastUserSwitchingCompatibility)
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij proces przez Wykonaj skrypt. Po restarcie otrzymasz z tego log.

 

2. W ComboFix w dolnej partii stoją hooki, których nie mogę nigdzie podpasować. Sprawdź co powie Kaspersky TDSSKiller. Jeśli coś zostanie znalezione, wszystko ustaw na Skip i tylko wygeneruj raport.

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, "http://www.gmer.net"
 
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x861F4C56]
kernel: MBR read successfully
detected MBR rootkit hooks:
IoDeviceObjectType -> DumpProcedure -> 0xd46a624f
 SecurityProcedure -> 0x854443f8
 QueryNameProcedure -> 0x85444588
user & kernel MBR OK 

 

3. W ostatnim ComboFix nadal jest to co poniżej. Skoro nie działa komenda migracji nazw w ComboFix, po prostu przeinstaluj Skype.

 

c:\program files\Skype\Phone\Skype .exe

 

4. W aplecie usuwania programów pozbądź się poniższego szajsu odmontowując pdfforge Toolbar. To sponsor wchodzący z nieuważną instalacją PDFCreator.

 

S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
2010-09-02 10:19 . 2010-09-02 10:19    --------    d-----w-    c:\program files\Application Updater
2010-09-02 10:19 . 2010-09-22 22:28    --------    d-----w-    c:\program files\pdfforge Toolbar

 

5. Do oceny kolekcja raportów: z usuwania OTL w podejściu nr 1, raport z Kasperskiego oraz nowe logi z OTL.

 

 

 

 

PS. Czy to "legalny" Windows 7? Pytam, ponieważ jest tu dziwna usługa KMService i jej nie ruszam na razie, bo wygląda na część cracka....

 

.

[htw]

Witam picasso pewnie mnie nie kojarzysz bo pomagasz ludziom codziennie ale mi pomogłaś nie raz

 

 

 

ale do rzeczy :

 

ad. 1

 

http://wklej.org/id/396228/txt/

 

ad.2

 

http://wklej.org/id/396232/txt/

+ zrobilem skan z Kaspersky Virus Removal Tool 2010

http://wklej.org/id/396229/txt/

 

ad.3

 

skype wywalony

 

ad.4

 

szajs wywalony

 

ad.5

 

nowe logi z OTL :

 

http://wklej.org/id/396240/txt/

http://wklej.org/id/396241/txt/

 

 

odp na ps Winda oczywiscie legalna bo jestem studentem akademi technicznej

czyli mam konta na msdnaa ale moga byc problemy z orginalnoscia np Office'a ......

[picasso]

Pamiętam, avatar również.

 

1. W OTL została usunięta usługa.

 

2. MBRCheck tego nie widział. A według Kasperskiego jest tu najnowsza wersja rootkita TDL, czyli wariant w MBR. To się zgadza z objawami: niespodziewany BSOD i trudności w łączeniu z siecią upostaciowane jako błędy WU i Google Chrome. Tłumaczyć też może te hooki widzialne w ComboFix.

 

2010/10/02 13:40:30.0300    Detected object count: 1
2010/10/02 13:40:44.0315    Rootkit.Win32.TDSS.tdl4(\HardDisk0\MBR) - User select action: Skip

 

Ponownie uruchom Kaspersky TDSSKiller, ale tym razem wybierz opcję Cure i restart. Po restarcie dajesz: log z TDSSKiller oraz nowy log z MBRCheck. Log z MBRCheck po to, by sprawdzić czy Kaspersky wbije dobrą sygnaturę w MBR, bo obiło mi się o oczy, że po leczeniu killerem na systemach Vista/7 jest wstawiana sygnatura starszego systemu.

 

3. Komentując wyniki z Kaspersky Virus Removal Tool 2010: w przeważającej części nieistotne, bo izolowane. ...\Windows Defender\LocalCopy (kwarantanna Windows Defender) + C:\_OTL (kwarantanna OTL). A "Download" to wiesz ....

 

ale moga byc problemy z orginalnoscia np Office'a ......

 

To KMService to chyba od cracka Office...

 

SRV - [2010-05-15 16:11:15 | 000,008,192 | ---- | M] () [Auto | Stopped] -- C:\Windows\System32\srvany.exe -- (KMService)

 

 

.

[htw]

Bardzo mi w takim razie miło

 

Wszystko elegancko się pousuwało ! Windows update działa jak ma działać Chrome nie protestuje tylko została kwestia sieci. Podczas ładowania systemu po miłym zaproszeniu w momencie pokazywania się pulpitu widzę, że coś bardzo obciąża system. Podglądnąłem to w menedzerze zadań i sie okazało, że to proces System a pozniej usługa Svchost - widocznie te trojany i inne badziewia rozstroiły mi ustawienia sieciowe ... ponad to widać przy zegarku jak komputer walczy z siecią na początku ( kułeczko w okuł ziemi się kręci i kręci .. ) a na końcu wywala mi komputerek z przekreślony na czerwono chociaż internet chodzi ....

 

 

daje log z MBRCheck

 

http://wklej.org/id/396706/txt/

 

TDSSKiller nic już nie znalazł przeskanowałem dodatkowo komputerek Spybotem i Malwarebytes' Anti-Malware i nic nie odnaleziono

 

 

Picasoo jak zwykle mnie nie zawiodłaś !! Dziękuje bardzo za pomoc i jakbyś jeszcze mogła coś poradzić na ten sieciowy bałagan ......

 

update:

 

do anomalii należy również wydaje mi się wielość procesu SYSTEM ( tuż po czystym wejściu ) bo mierzy aż prawie 400 MB, generalnie przedtem zajetosc systemu i wszystkiego co sie odpala podczas uruchamiania było w granicach 40 % teraz jest ponad 50 ( nie instalowalem niczego nowego i stram sie utrzymywac porzadek oraz stala ilosc procesow )

[picasso]

Czeka Cię jeszcze wymiana wszystkich haseł. Rootkity MBR mają predyspozycje do zbierania takich danych.

 

Podczas ładowania systemu po miłym zaproszeniu w momencie pokazywania się pulpitu widzę, że coś bardzo obciąża system. Podglądnąłem to w menedzerze zadań i sie okazało, że to proces System a pozniej usługa Svchost - widocznie te trojany i inne badziewia rozstroiły mi ustawienia sieciowe ... ponad to widać przy zegarku jak komputer walczy z siecią na początku (...)

do anomalii należy również wydaje mi się wielość procesu SYSTEM ( tuż po czystym wejściu ) bo mierzy aż prawie 400 M

 

1. W takim razie zaczynamy od początku, czyli nowe raporty z OTL wygeneruj.

2. Sprawdź też czy te same objawy występują na czystym rozruchu (KB929135).

 

 

 

.

[htw]

ad 1. Log z OTL

 

http://wklej.org/id/397712/txt/

 

http://wklej.org/id/397713/txt/

 

ad 2. Wykonane, liczba usług zmniejszyla sie do 25 i dalej ta sama historia z procesem SYSTEM ( około 400 MB ) i przy starcie bardzo wzmożona praca tego procesu i oczywiscie ikona sieci z przekresleniem ( ale internet chodzi normalnie )

[picasso]

Nie obserwuję tu już znaków czynnej infekcji. Wracając do sieci:

 

1. Widzę na dysku te sterowniki sieciowe po Symantec oraz cFoss:

 

[2010-09-14 18:23:29 | 000,666,672 | R--- | C] (Symantec Corporation) -- C:\Windows\System32\drivers\SymEFA.sys

[2010-09-14 18:23:29 | 000,339,504 | R--- | C] (Symantec Corporation) -- C:\Windows\System32\drivers\SymDS.sys

[2010-09-14 18:23:29 | 000,294,448 | R--- | C] (Symantec Corporation) -- C:\Windows\System32\drivers\symnets.sys

[2010-09-14 18:23:29 | 000,134,704 | R--- | C] (Symantec Corporation) -- C:\Windows\System32\drivers\Ironx86.sys

[2010-09-14 18:00:23 | 001,164,504 | ---- | C] (cFos Software GmbH) -- C:\Windows\System32\drivers\cfosspeed6.sys

 

Wygląda to na odpadki. Wstępnie sprawdź czy widać odnośniki do tych programów we Właściwościach kart sieciowych i czy jest możliwe usunięcie z tego poziomu. Do automatycznego likwidowania szczątków Symantec służy Norton Removal Tool.

 

2. Jest bardzo rozbudowany plik HOSTS, który może wchodzić w kolizję z usługą Klient DNS:

 

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

(...)

O1 - Hosts: 14506 more lines...

 

Zredukuj plik HOSTS do postaci domyślnej. Pisałam o tym tutaj: KLIK.

 

3. Ostatni skrypt do OTL usuwający śmieci:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Downloads\PIC675799074533-JPG-www.facebook.com.exe"=-
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Maja\AppData\Local\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Maja\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TBPANEL.SYS -- (Cardex)
[2010-09-24 12:33:13 | 000,000,180 | ---- | M] ()(C:\Windows\System32\?????????????D???I?I???9?x??????{) -- C:\Windows\System32\헵畹숛뤀쇽畸죞DII흝9ႏx檖畸{
[2010-10-04 21:35:21 | 000,000,144 | ---- | M] () -- C:\Windows\System32\~.inf

 

A pliki schematu C:\Users\Maja\AppData\Local\Temp*.html znów się pojawiły, ich czyszczenie nie ma charakteru permanentnego. Produkuje je GG10.

 

 

.

[htw]

Jade obecnie na neostradzie wiec cfspeed musi byc zainstalowany bo inaczej ciezko cokolwiek zrobic, chociaz zostal na czas tych manewrow wywalony.

Narzedzie nortona uruchomilem skrypt odpalilem i hosta zrobilem ze ma tylko dwie linie, ale dalej to samo proces SYSTEM zajmuje okolo 400 MB i jest barddzo aktywny podczas ładowania systemu, to samo z ikona sieci ( przekresklona) chociaz internet działa we wlasciwosciach karty sieciowej nie ma zadnych dziwnych odnosnikow .

 

podaje kontrolnie logi z OTL

 

http://wklej.org/id/397872/txt/

 

http://wklej.org/id/397873/txt/

[picasso]

1. By zamknąć sprawę sprzątania po infekcji:

 

• Odinstaluj Kaspersky Removal Tool. Jeśli po tej operacji zostaną poniższe sterowniki, należy je ręcznie wyrzucić (np. w Autoruns w karcie Driver)
  

DRV - [2009-10-22 13:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\58625132.sys -- (58625132)
DRV - [2009-10-09 23:31:02 | 000,311,312 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\Windows\System32\drivers\5862513.sys -- (setup_9.0.0.722_02.10.2010_10-31drv)
DRV - [2009-09-25 17:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\Windows\System32\drivers\58625131.sys -- (58625131)

• W OTL wywołaj funkcję Sprzątanie.
  
• Wyczyść foldery Przywracania systemu (INSTRUKCJE).
  

2. Tu jeszcze notuję od początku takie odczyty:

 

Error reading Event Logs: The Event Service is not operating properly or the Event Logs are corrupt!

 

Taki wynik w OTL nie zawsze oznacza rzeczywisty defekt Dziennika (były logi w których to stało, a nic złego z Dziennikiem się nie działo), ale sprawdź czy Dziennik zdarzeń da się uruchomić i przeglądać. Jeśli nie, trzeba będzie to naprawiać i podam jak.

 

3. Proces SYSTEM wskazuje na jakieś sterowniki. To zbyt ogólnikowe i muszą tu być wykonane bardziej precyzyjne odczyty. Można to zrobić w aplikacji Performance Toolkit wzorując się na podobnej procedurze: KLIK. Niestety duża paczka do pobrania (całe SDK).

 

 

 

.

[htw]

Jestem sorry, że długo nie pisałem ale mnie w domu nie było, no ale do rzeczy.

 

ad. 1 - wykonane

 

ad. 2 - nie do końca wiem o co chodzi wykonałem sprzątanie i wszystko poznikało

 

ad. 3 - trochę się obawiałem tych manewrów ale dałem rade, a przynajmniej tak mi się wydaje

zrobiłem wszystko wg. instrukcji podanej w linku i wyszły następujące wyniki ( plik DPC_Interrupt ) :

 

z pozycji CPU Sampling by CPU zaznaczyłem wszystko i pozniej z prawokliku Summary Table :

 

 

tutaj rozwinięcie procesu SYSTEM :

 

 

i jedna dziwna imo anomalia z Disc I/O :

 

 

dodam jeszcze, ze próbowałem wyciągać kartę sieciową żeby zobaczyć czy coś się podzieję ale bez różnicy, co do dziwadeł jakie mają miejsca dodam, że system domaga się ponownej aktywacji i skasowała mi się klasyfikacja Windows ( nie wiem czy ma to coś wspólnego ze sprawą ale wolę napisać )

[picasso]

ad. 2 - nie do końca wiem o co chodzi wykonałem sprzątanie i wszystko poznikało

 

Chodziło mi o to czy uruchamia się Dziennik zdarzeń Windows (bo OTL nie potrafił w ogóle odczytać jego zawartości). Ale jak mówiłam, już widziałam takie rozbieżności, w logu błąd a Dziennik bez uszczerbku chodził. W ogóle tu nie sprawdziliśmy Dziennika i nie mam wykazu jakie są potencjalne błędy. Proszę sprawdź to.

 

ad. 3 - trochę się obawiałem tych manewrów ale dałem rade

 

Pierwszy obraz wykazuje dużą aktywność sterownika volsnap.sys, a to sterownik cieniowania woluminów. Na drugim obrazku pojawiają się niezdefiniowane dla mnie obiekty (rozwinięcie drzewek Unknown coś pokazuje?) oraz także odwołania do dysku innego niż systemowy, czyli Z. Co jest na tym dysku? W MBRCheck jest listowany jako odrębny dysk fizyczny:

 

\\.\Z: --> \\.\PhysicalDrive1 at offset 0x00000000`00100000  (NTFS)
 
PhysicalDrive1 Model Number: SAMSUNGHD103UJ, Rev: 
 
931 GB  \\.\PhysicalDrive1   RE: Windows 2008 MBR code detected
            SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

 

Nie wiem co sądzić o tych wynikach. To co na razie widzę jakby kręci się wokół dysku twardego. Był tu wykryty rootkit w MBR. Kaspersky jakoby go leczył, czego wynik to brak ponownej detekcji w narzędziu i odblokowanie WU + Chrome. Ja się jednak zastanawiam czy na pewno ta operacja z MBR była wystarczająca oraz czy dysk Z na pewno jest czysty.... Interesuje mnie też jak się zachowuje przystawka diskmgmt.msc, czy nie ma tu aby jakiegoś problemu z poborem danych? Skoro jest tu volsnap, to wstępnie sprawdź:

 

1. Start > w polu szukania CMD > Uruchom jako Administrator i wklep polecenie vssadmin list writers, na liście zaś przeanalizuj czy są jakieś adnotacje przy dostawcach punktujące błąd. Wyniki w całości tu przeklej z okna do posta.

2. Co się stanie, jeśli kompletnie zdejmiesz Ochronę systemu z wszystkich dysków, czyli wyłączysz funkcję tam gdzie poprzednio byłeś w celu czyszczenia folderów Przywracania systemu. Restart.

3. Co się stanie, jeśli odczepisz dysk Z.

 

Zzipuj także ten log ETL wygenerowany toolkitem, gdzieś shostuj i mi go podlinkuj. Czekam też na wgląd do Dziennika zdarzeń.

 

 

 

.

[htw]

ad. 1 vssadmin list writers -> zero błędów, troche tego bylo, sprawdzilem wszystko i komunikat był nastepujacy "nie wykryto błędów"

 

ad.2 bez zmian,

 

ad.3 bez zmian

 

Dziennik:

http://sendfile.pl/23607/Pliki_z_Dziennika.rar

 

DPC_Interrupt

http://sendfile.pl/23608/DPC_Interrupt.rar

 

 

kurcze, z tego zaczyna sie robic normalny poltergeist ......

 

ps. ze wzgledu na to ze sa to moje wnetrznosci, pozwolilem sobie zalozyc hasło na pliki ktore udostapnilem, chetnym rozwiazania zagadki udziele hasla na priv

[picasso]

Wzięłam na początek Dziennik zdarzeń:

 

W sekcji System, po odrzuceniu Informacji oraz błędów występujących tylko raz, widzę naprzemiennie powielanie się zdarzeń z Service Control Manager i Microsoft-Windows-SharedAccess_NAT:

 

1.

Błędy    2010-10-06 18:33:43    Service Control Manager    7000    Brak    "Nie można uruchomić usługi SBSD Security Center Service z powodu następującego błędu: 
Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie."
Błędy    2010-10-06 18:33:43    Service Control Manager    7009    Brak    Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą SBSD Security Center Service.

 

To jest usługa Spybot - Search & Destroy:

 

SRV - [2009-01-26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Stopped] -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)

 

Odinstaluj w całości ten program. On i tak odstaje w dniu dzisiejszym skutecznością. Przy okazji ustąpią i błędy SideBySide w sekcji Aplikacji, związane z tym programem.

 

2.

Ostrzeżenia    2010-10-12 09:41:03    Microsoft-Windows-SharedAccess_NAT    34005    Brak    ICS_IPV6 nie może przydzielić  bajtów pamięci. Może to wskazywać, że w systemie brakuje pamięci wirtualnej lub że menedżer pamięci napotkał błąd wewnętrzny.

 

Start > w polu szukania wklep services.msc > Uruchom jako Administrator > sprawdź jaki typ startu ma "Udostępnianie połączenia internetowego (ICS)". Na Windows 7 usługa jest domyślnie wyłączona. Jeśli masz inaczej, przestaw typ startu.

W Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > po kolei pobierz Właściwości dla wszystkich aktywnych połączeń i przejdź do karty Udostępnianie > czy jest odznaczone "Zezwalaj innym użytkownikom sieci na łączenie się poprzez połączenie internetowe tego komputera". Odptaszkuj, jeśli zaznaczone.

Po ukończeniu tych zadań zresetuj system i podaj wyniki, czy ma to znaczenie dla stanu sieci.

 

3.

Błędy    2010-10-10 09:46:03    Microsoft-Windows-HAL    12    Brak    Oprogramowanie układowe platformy spowodowało uszkodzenie pamięci podczas poprzedniego przejścia do innego trybu zasilania systemu. Sprawdź dostępność zaktualizowanego oprogramowania układowego przeznaczonego do tego systemu.
Informacje    2010-10-10 09:46:02    Microsoft-Windows-Kernel-Power    42    (64)    "System przechodzi do trybu uśpienia.
 
Przyczyna: Interfejs API aplikacji"

 

Ten błąd także wystąpił kilka razy, choć liczebność o wiele mniejsza w porównaniu do w/w. MS na ten temat: KB2028443.

 

 

 

.

[htw]

ad.1 Spybot wywalony ( ze smutkiem )

 

ad.2 Faktycznie mialem wlaczona usluge udostepniania i byla nastawiona na automat ale wylaczylem

 

ad.3 Bios mam najnowszy

 

niestety po tych wszystkich zabiegach to samo

 

teraz cos na temat nowych objawów bo po wlaczeniu glosnikow sie okazało, ze do zespołu paranormalnych zjawisk doszły również dziwieki, i z tego co sie zorientowałem to chodzi o informacje na temat niepowodzenia podłączenia urzadzenia, wchodzac do menedzera urzadzen mam taki oto obrazek :

 

 

nie wiem czy ma to znaczenie ale mowie na wszeli wypadek

 

update - po wypięciu czytnika kart dalej bez zmian

 

.

[picasso]

ad.1 Spybot wywalony ( ze smutkiem )

 

Ten błąd co pokazywałam to stąd, że Spybot nie jest zgodny z najnowszą wersją Centrum zabezpieczeń występującą w Windows 7.

 

ad.2 Faktycznie mialem wlaczona usluge udostepniania i byla nastawiona na automat ale wylaczylem

 

Pytania:

- Nie mówisz nic o urządzeniach sieciowych, na pewno nie było na nich zaznaczonego współdzielenia?

- Czy po restarcie systemu usługa ICS nie zmieniła swojego stanu?

- Czy zniknął z Dziennika zdarzeń błąd ICS, który cytowałam? Czy nie pojawiły się aby nowe błędy?

- I jeszcze w kwestii tego:

 

oczywiscie ikona sieci z przekresleniem ( ale internet chodzi normalnie )

 

Po kliku w ikonę sieci jaki zestaw połączeń tam widać?

 

teraz cos na temat nowych objawów bo po wlaczeniu glosnikow sie okazało, ze do zespołu paranormalnych zjawisk doszły również dziwieki, i z tego co sie zorientowałem to chodzi o informacje na temat niepowodzenia podłączenia urzadzenia, wchodzac do menedzera urzadzen mam taki oto obrazek

 

Może po prostu wyczyść ślady sprzętowe po podpinanych przenośnych. Akcja do przeprowadzenia np. w USB-set w karcie Cleaning Traces zaznaczając wszystkie pozycje.

 

 

 

.

[htw]

Jestem, przepraszam, ze dopiero teraz odpisuje ale wlasnie do domu przyjechalem.

 

Moze tym razem troche obrazkowo :

 

Obrazek z Centrum Sieci :

 

 

Obrazek moich problemów

 

 

Obrazek z programu process explorer

 

 

Obrazek z programu process explorer

 

 

Obrazek z programu process explorer

 

 

Obrazek z programu process explorer

 

 

 

 

Usługa ICS wyłączona.

 

ps. mam nadzieje, ze sie to nie skonczy formatem bylo by pewniej szybciej ale problem zostal by nie rozwiazany ..

[htw]

Witam ponownie

 

Sprawę przeanalizowałem od początku i okazało sie, ze jak sugerowała picasso za ładowanie danych do procesu SYSTEM był odpowiedzialny dysk (zew podlaczony przez USB)

W momencie podłączenia dysku automatycznie zaczyna się zapychać pamięć, a w momencie odłączenia sprawa się normalizuje ( sprawa 1 sekundy ). Motyw sieci jest nie rozwiązany ale internet działa bez zarzutu wiec to małe piwo no ale jeśli by się udało to zrobić jak należy było by fajnie no i oczywiście co by tu zrobić żeby podczas włączania tego dysku, za każdym razem nie był pozbawiany 1/4 mojego cennego ramu ...... ?

 

 

.

[picasso]

Sprawę przeanalizowałem od początku i okazało sie, ze jak sugerowała picasso za ładowanie danych do procesu SYSTEM był odpowiedzialny dysk (zew podlaczony przez USB)

W momencie podłączenia dysku automatycznie zaczyna się zapychać pamięć, a w momencie odłączenia sprawa się normalizuje ( sprawa 1 sekundy ). (...) no i oczywiście co by tu zrobić żeby podczas włączania tego dysku, za każdym razem nie był pozbawiany 1/4 mojego cennego ramu ...... ?

 

Pogubiłam się. Zdawało mi się, że odpiąłeś i nie było zmian .... W logu był tylko jeden osobny dysk fizyczny niesystemowy, podmontowany wtedy jako Z:

 

Drive C: | 50,29 Gb Total Space | 16,16 Gb Free Space | 32,12% Space Free | Partition Type: NTFS
Drive D: | 182,59 Gb Total Space | 44,55 Gb Free Space | 24,40% Space Free | Partition Type: NTFS
Drive Z: | 931,51 Gb Total Space | 76,04 Gb Free Space | 8,16% Space Free | Partition Type: NTFS

 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`92d00000  (NTFS)
\\.\Z: --> \\.\PhysicalDrive1 at offset 0x00000000`00100000  (NTFS)

 

1. W kontekście wysokiej aktywności przy podpinaniu USB kojarzy mi się jeszcze indeksowanie. Panel sterowania > w wyszukiwarce wpisz Opcje indeksowania i sprawdź lokalizacje indeksowane. Gdyby figurował USB, to go wyklucz w całości oraz spróbuj przebudować indeks.

2. Sprawdź także: Mój komputer > PPM na ten problematyczny dysk > Właściwości > karta Udostępnianie (czy wyłączone) oraz ReadyBoost (czy odznaczone).

 

Motyw sieci jest nie rozwiązany ale internet działa bez zarzutu wiec to małe piwo no ale jeśli by się udało to zrobić jak należy było by fajnie

 

Czy to przypadkiem nie pochodzi od pozycji "Połączenia przychodzące - brak podłączonych klientów"? Ta pozycja sugeruje zbudowane połączenie z telefonem.

 

 

 

.