jogibabu Opublikowano 14 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2013 (edytowane) Witam,jestem tu na forum nowy więc proszę o wyrozumiałość postąpiłem według zaleceń i zrobiłem logi otl i gmer system u nie można uruchomić w trybie awaryjnym. co mi się udało: uruchomiłem z otlpe zrobiłem loga według zaleceń żeby nie zmieniać ustawień otl później udało mi się uruchomić w trybie awaryjnym z wierszem poleceń i zrobiłem loga otl i gmer przy uruchamianiu trybu awaryjnego pokazuje się plansza z informacją ażeby nacisnąć enetr i ijakiś plik z rozszerzeniem sys,jak tego nie zrobię to miga mi tylko kursor na górze ekranu. proszę o pomoc i dziękuje za okazanie wyrozumiałości czy można liczyć na pomoc? sześćdziesiąt pare wyświetleń i żadnej odpowiedzi?? OTLpe.Txt OTL.Txt Extras.Txt gmer.txt Edytowane 19 Kwietnia 2013 przez picasso Temat rozwiązywany na innym forum: http://www.elektroda.pl/rtvforum/topic2548700-0.html //picasso Odnośnik do komentarza
jogibabu Opublikowano 19 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 Witam, problem opisany jest w wątku na innym forum o to link http://www.elektroda.pl/rtvforum/topic2548700-0.html po skryptach poprawił się znacznie do momentu usunięcia infekcji wykrytych przez mbam. przywróciłem system w trybie awaryjnym poprzez opcję "ostatnia dobra konfiguracja" w tej chwili komputer się muli,długo startuje, ma powyłączane usługi,nie można połączyć się z netem. załączam dzisiejsze logi z otl i gmer z góry dziękuje za pomoc Extras.Txt log.txt Odnośnik do komentarza
picasso Opublikowano 19 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 Za analizę się zabiorę przy komplecie danych. Spójrz na swój aktualny log z OTL, waży 2 bajty i jest całkowicie pusty (usuwam go). Zrób skan poprawnie i podmień załącznik. O przesuniętym czasie o dwa lata do tyłu już mówiłam na PW. Twierdzisz, że "tak ma być", nie wyjaśniłeś jednak powodu cofnięcia czasu oraz gdzie leży trudność z jego przestawieniem na prawidłowy. Ja podtrzymuję że: nie widzę powodu, by czas mieć cofnięty o dwa lata do tyłu, jest to niezdrowe (niepoprawne funkcjonowanie m.in. certyfikatów czy cookies) oraz może zafałszować odczyt logów (które bazują na czasach plików). Mnie się zdaje, że to cofnięcie czasu to był komplet do cracka aktywacji... . Odnośnik do komentarza
jogibabu Opublikowano 19 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 a widzisz coś zmieniło ten log ok zrobie jeszcze raz logi muszę zrobić z wiersza poleceń trybu awaryjnego taki sprzęt dostałem. hologram z key wni jest na laptopie ps.date zmienię po ponownym rozruchu systemu nowy log z poziomu wiersza poleceń OTL.Txt Odnośnik do komentarza
jogibabu Opublikowano 19 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 19 Kwietnia 2013 po wystartowaniu systemy datę zmieniłem na poprawną Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2013 w tej chwili komputer się muli,długo startuje, ma powyłączane usługi,nie można połączyć się z netem. 1. Pierwsze co się rzuca w oczy to obecność bardzo starego Symantec (silnik z roku 2007). Rozpocznij od jego deinstalacji. Popraw specjalizowanym usuwaczem Norton Removal Tool. 2. Druga rzecz, którą widać od pierwszych zapostowanych raportów, to ten odczyt: ========== Last 20 Event Log Errors ========== Error: Unable to start EventLog service! Start > Uruchom > eventvwr.msc, czy otwiera się Dziennik zdarzeń bez błędu? Start > Uruchom > services.msc, wyszukaj usługę Dziennik zdarzeń i powiedz mi jaki ma stan (Zatrzymana / Uruchomiona) oraz Typ Uruchomienia (Automatyczny / Wyłączony) . Odnośnik do komentarza
jogibabu Opublikowano 24 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2013 Dziennik uruchamia się. services=stan:Uruchomiono tryb uruchomienia: Automatyczny Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2013 Nie wypowiadasz się nic na temat Symantec. Czy go usuwałeś? Usuń jak opisałam, po tym wypowiedz się wyraźnie czy jest jakaś poprawa w funkcjonowaniu systemu i sieci. Odnośnik do komentarza
jogibabu Opublikowano 24 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2013 tak odinstalowane. poprawy brak,system uruchamia się bardzo wolno,sieci brak dziennik uruchamia się,usługi także uruchamiają się Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2013 Pokaż mi nowy skan OTL, ale zrobiony na warunku: Usługi + Sterowniki ustawione na Wszystko a nie Użyj filtrowania. Odnośnik do komentarza
jogibabu Opublikowano 24 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2013 logi OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 A jednak zmiany zaszły, bo teraz Dziennik zdarzeń zaczął "nagrywać", podany tu Extras pokazuje coś czego nie ma żaden z wcześniejszych logów (ani na Fixitpc, ani na Elektrodzie), tzn. spis błędów zamiast komunikatu o niemożności startu usługi Dziennika. Były robione dwie globalne rzeczy (przestawiany czas komputera + usuwany Symantec), jedna z tych powinna być związana z nową postacią rzeczy. poprawy brak,system uruchamia się bardzo wolno,sieci brak 1. Wolne uruchamianie systemu. Był tu uruchamiany wielokrotnie GMER. Potencjalnym skutkiem ubocznym może być obniżenie transferu dysku z DMA do PIO. Instrukcje weryfikacji: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Przyglądasz się nie na ogólne ustawienie lecz na linię "bieżący tryb transferu". W przypadku zastania PIO z prawokliku odinstaluj kanał i zresetuj system. W razie niejasności pokaż zrzut ekranu.2. Brak sieci. W Dzienniku zdarzeń widnieje taki błąd: Error - 2013-04-24 08:57:19 | Computer Name = Star87996 | Source = Service Control Manager | ID = 7024Description = Usługa Menedżer połączeń usługi Dostęp zdalny zakończyła działanie;wystąpił specyficzny dla niej błąd 3221356592 (0xC0020030). Wg nowego raportu OTL usługa oraz jej wzajemne zależności wyglądają na kompletne (pliki DLL wykryte), więc nie w nich per se jest usterka: SRV - [2008-04-14 23:50:46 | 000,088,576 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\rasauto.dll -- (RasAuto)SRV - [2008-04-14 23:50:46 | 000,186,368 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\rasmans.dll -- (RasMan)SRV - [2008-04-14 23:50:58 | 000,249,856 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\tapisrv.dll -- (TapiSrv) Na elektrodzie mówiłeś dodatkowo jeszcze o błędzie: przy próbie wykonania pingu wyskakuje komunikat:"Nie można zainicjować interfejsu Windows Sockets ,kod błędu 0" Zacznij od kompletnego resetu katalogu sieciowego Winsock: KLIK. Z artykułu wykonaj reset części Protocol poprzez komendę netsh winsock reset oraz reset części NameSpace przez import pliku WinsockNSP_XP.reg. Po wykonaniu obu kroków zresetuj komputer i podaj wyniki czy są jakieś zmiany w obszarze funkcjonowania sieci.. Odnośnik do komentarza
jogibabu Opublikowano 25 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 picasso JESTEŚ WIELKA!!!!! wszystko działa jak należy!! Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 Teraz wrócę do raportu OTL pod innym kątem. Był sporny plik, który męczono na Elektrodzie. Na Elektrodzie pierwsza myśl była prawidłowa = usuwać. Potem zamącono, inny pomocnik myli nazwę programu (Star Diagnosis) z nazwą konta użytkownika (C:\Documents and Settings\STAR > "Computer Name: Star87996 | User Name: STAR"), które tylko przypadkiem są zbieżne. On wrócił: ========== Files/Folders - Created Within 30 Days ========== [2011-08-14 06:46:14 | 000,140,288 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\STAR\3842105.dll Ten plik jest plikiem infekcji, nie pochodzi od programów serwisowych, nie jest też tym nieszczęsnym plikiem związanym z ... ekhm ... złamaną aktywacją (to antiwpa.dll i jego klony są tym crackiem licencji). Po pierwsze, w startowym logu OTL jest wyraźny zakres czasowy powstania plików, patrz na wspólny przedział czasowy plików infekcji oraz to że udają pliki Microsoft (zapewniam Cię, że ten cyfrowy plik nie jest MS): [2011-08-14 09:13:47 | 000,000,798 | ---- | M] () -- C:\Documents and Settings\STAR\Menu Start\Programy\Autostart\msconfig.lnk [2011-08-14 09:13:33 | 000,003,061 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\inb2od.js [2011-08-14 09:13:20 | 000,140,288 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Dane aplikacji\do2bni.dat [2011-08-14 09:13:20 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe [2011-08-14 09:13:17 | 000,140,288 | ---- | M] (Microsoft Corporation) -- C:\Documents and Settings\STAR\3842105.dll Po drugie, MBAM go prawidłowo klasyfikował: Wykrytych plików: C:\Documents and Settings\STAR\3842105.dll (Malware.Gen) -> Nie wykonano akcji. Po trzecie, na forum tutaj był ten wariant infekcji wiele razy i taki luźny cyfrowy plik w katalogu konta był w zestawie. Pierwszy z brzegu przykład: KLIK. Przez SHIFT+DEL go skasuj. . Odnośnik do komentarza
jogibabu Opublikowano 25 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 Droga picasso jestem pod wrażeniem Twojej wiedzy i dlatego zdałem się na Twoją pomoc w rozwiązaniu problemu.Niestety moja wiedza nie sięga tak głęboko w struktury systemu.Logi z OTL to dla mnie czarna magia . problem rozwiązało to: netsh winsock reset komputer po tym zabiegu wrócił do życia i tu był główny problem. jeszcze raz serdecznie dziękuje za pomoc i nie omieszkam zaglądać tu na forum bo jest naprawdę pomocne i wiedza jaką dysponujecie jest WIELKA Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 OK, to wiem, teraz odnoszę się do innych nieukończonych wątków. Czy skasowałeś ten cyfrowy plik, o którym teraz mówię? On musi zniknąć, to na 100% jest plik infekcji podrabiający plik "systemowy Microsoftu". Na koniec również wykonaj te zadania, których nie zadano po wyczyszczeniu infekcji: 1. W OTL uruchom Sprzątanie. 2. Powinny być czyszczone też foldery Przywracania systemu: KLIK. Aczkolwiek ostatni log OTL Extras pokazuje funkcje nieczynną, tzn. niezgodność startową komponentów (usługa ustawiona a Auto, ale sterownik wyłączony). Sprawdź opcje Przywracania, powinno zadać pytanie o włączenie sterownika po resecie, lub w services.msc kompletnie wyłącz usługę Przywracanie systemu. ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 3. Usuń wszystkie stare Adobe i Java, zastąp najnowszymi: KLIK. To m.in. luki w tym oprogramowaniu prowadzą do infekcji "policyjnej". Wg raportu siedzą tu wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216038FF}" = Java 6 Update 38 "{26A24AE4-039D-4CA4-87B4-2F83217021FF}" = Java 7 Update 21 "{AC76BA86-7AD7-1033-7B44-A70900000002}" = Adobe Reader 7.0.9 "Adobe Acrobat 7.0" = Acrobat Reader 7.0 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) 4. Archaiczny Symantec został usunięty. Broń Boże nie przywracaj go z żadnych starych instalatorów. Wyposaż się w jakiś nowoczesny program AV. Temat uznaję za ukończony. Będziemy zamykać. . Odnośnik do komentarza
jogibabu Opublikowano 25 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 stare pliki przywracania systemu zostały usunięte,plik infekcji został usunięty,reszty nie mogę wykonać gdyż komputer oddałem. ok to robimy offik Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 "Zadalnie" poinstruuj o aktualizacjach posiadacza komputera. Aktualizacja aplikacji musi być wykonana, zadanie jest proste i może to samodzielnie wykonać. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi