Brak dysku w "Zarządzanie dyskami"

[darek]

Witam.

 

W komputerze mam dwa dyski, pierwszy to trzy partycje i c oczywiście systemowa z Win 7, drugi to kolejne dwie partycje. Sprawa wygląda tak, że w przystawce "Zarządzanie dyskami" brak tego z systemem.

Wszystko działa oczywiście poprawnie, w "Komputer", czy Total Commanderze wszystkie partycje na wszystkich dyskach są dostępne, jednak w "Zarządzanie dyskami, jak i w Menadżerze urządzeń widoczny jest tylko ten drugi dysk.

 

Jeśli ktoś zna przyczynę takiego stanu rzeczy i mógłby mnie nakierować na rozwiązanie problemy byłbym wdzięczny.

 

Pozdrawiam, Darek.

[wieslaw531]

1. Pełna konfiguracja komputera.

2. Obrazek z Zarządzania Dyskami.

3. Obrazek z MU z rozwiniętymi gałęziami Kontrolery i Stacje dysków.

 

Od tego zacznij.

 

 

 

[darek]

Proszę bardzo

 

 

 

Tak to wygląda. Poza tym wszystko działa, w biosie oba dyski tez są widoczne. Nie mam pojęcia jaka jest tego przyczyna, żadnych obcych programów do zarządzania dyskami nie instalowałem. Win 7 jest też jedynym systemem w tym komputerze.

 

MSI K7N2 Delta-L

Athlon XP 3000+

Ati Radeon 9600

Dysk nr 1 - ST3250620A (232 GB)

Dysk nr 2 - ST3160815A (149 GB)

1,5 GB ram

Zasilacz jakiś tam

[wieslaw531]

Brak p. 1. Podaj również typy obu dysków.

Co namieszałeś z literami dysków bo coś mi tu nie pasuje.

 

 

 

[darek]

Typy dysków są w poście wyżej. Z literami nic nie namieszałem, Win 7 przypisuje kolejne litery najpierw do partycji podstawowych, stąd dysk D na drugim fizycznie dysku.

[picasso]

Obawiam się, że tu jest infekcja TDL4 w MBR dysku (typowe dlań źródło: crack). To co opisujesz to klasyczne znaki działania tego rootkita. Blokuje pobór danych o dyskach systemowych, zarówno w Menedżerze urządzeń jak i Zarządzaniu dyskami. Tu masz dla porównania z mojej testowej maszyny Windows 7 co się dzieje jak działa ten rootkit:

 

Przed infekcją:

 

 

Po infekcji:

 

 

 

1. Rozpocznij od użycia Kaspersky TDSSKiller. Jeśli wykryje infekcję, przyznaj Skip (nie naprawiaj tego jeszcze) i wygeneruj raport do oceny.

2. Dołącz także zestaw obowiązkowych raportów przy diagnostyce malware: KLIK.

 

 

 

.

[darek]

Proszę, logi poniżej:

 

TDSSKiller

OTL

OTL-Extras

Log z Gmera

[picasso]

1. Wybrałeś już akcję Cure:

 

2011/02/24 14:39:55.0544 3180	\HardDisk1 - detected Rootkit.Win32.TDSS.tdl4 (0)
 
2011/02/24 14:42:49.0959 1576	\HardDisk1 - will be cured after reboot
2011/02/24 14:42:49.0962 1576	Rootkit.Win32.TDSS.tdl4(\HardDisk1) - User select action: Cure

Czy komputer został zresetowany? Pokaż nowy log z TDSSKiller.

 

2. Należy jeszcze usunąć inne odpadki po trojanach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2010-04-05 12:29:37 | 000,000,000 | -H-- | M] () -- C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2011-02-24 14:46:44 | 000,000,286 | -H-- | M] () -- C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010-12-18 14:39:18 | 000,005,111 | ---- | C] () -- C:\ProgramData\mxnhytee.feu
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Nastąpi restart, po którym otrzymasz log z usuwania.

 

3. Generujesz nowe logi z OTL. Dołącz i ten powstały z usuwania w punkcie 2.

 

 

 

 

.

[darek]

1. Tak, były dwie opcje, w jednej wybrałem Skip, niestety przez nieuwagę nie zrobiłem tego w w drugiej. Komputer zrestartowany, dysk pokazał się w zarządzaniu dyskami.

 

Nowy log z TDSSKiller

 

2. Zaraz wykonam pozostałe dwa punkty.

 

Log z działania skryptu

 

Nowy log OTL

[picasso]

W porządku, nowy odczyt z Kasperskiego i wizualne wyniki w przystawkach Windows wskazują na pomyślne wyleczenie MBR. Zadanie w OTL także wykonane.

 

1. W OTL wywołaj funkcję Sprzątanie.

 

2. Ze względu na obecność tych trzech usuwanych plików zrób pełny skan przez Malwarebytes' Anti-Malware i zgłoś się tu z wynikami.

[darek]

OK. Na razie serdeczne podziękowania! Już robię sprzątanie i skan.

 

Wynik pełnego skanowania dysku C

 

Miałbym jeszcze jedno pytanie. TDSSKiller wspomniał coś o pliku sptd.sys, co to za plik?

Żadna z poprzednich operacji nie usunęła tego pliku a jego właściwości są puste, nie ma ani producenta, wersji a informacje z Internetu mówią, że jest to jakiś szkodnik.

 

A tak poza tym to jeszcze raz serdeczne podziękowania dla Szanownej Pani !

[picasso]

Infekcja wygląda na zażegnaną. Do wykonania:

 

1. Zmień wszystkie hasła logowań. Rootkity MBR przechwytują ten typ danych.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Aktualizacja oprogramowania:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish
"Gadu-Gadu 10" = Gadu-Gadu 10

• Java i Adobe do deinstalacji i zastąpienia przez najnowsze: INSTRUKCJE.
  
• Opcjonalnie rozważ i wymianę potwora GG10 na coś bardziej uskrzydlonego, bez reklam i z dobrą obsługą nowego protokołu Gadu (długie numery, szyfrowanie, multilogowanie, ...). Opisy: Darmowe komunikatory. Propozycje z mojej strony: WTW lub Miranda.
  

4. Aktualizacja systemu: już jest SP1 dla Windows 7. Podaję link do pełnego instalatora (redukuje ryzyko falstartu w porównaniu do pobierania przez Windows Update): Windows 7 Service Pack 1.

 

5. System nie ma też żadnego oprogramowania antywirusowego z osłoną rezydentną. Zadbaj o to. Pobyt infekcji na Twoim komputerze jest alarmujący. Jeśli program nie ma być zbyt obciążający i rozbudowany, możesz wypróbować darmowy soft Microsoft Security Essentials.

 

 

Miałbym jeszcze jedno pytanie. TDSSKiller wspomniał coś o pliku sptd.sys, co to za plik?

Żadna z poprzednich operacji nie usunęła tego pliku a jego właściwości są puste, nie ma ani producenta, wersji a informacje z Internetu mówią, że jest to jakiś szkodnik.

 

Nie przeczytałeś dokładnie opisu TDSSKiller (GMER zresztą też, bo to podstawa przed uruchomieniem). Cytuję:

 

Uwaga: przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie główne ogłoszenie działu: Oprogramowanie emulujące napędy.

 

 

Gdyby był szkodliwy, nie opuściłabym tego wyniku z taką nonszalancją. Nie sądzisz?

 

 

 

.

[darek]

Dzięki za wszystkie rady, zaktualizowałem wszystko co się dało. Gadulca nie ruszam, bo w zasadzie korzystam z niego od "wielkiego święta", w auto starcie go nie ma a włączam go tylko jak ktoś mnie akurat o to poprosi. W dobie setek minut wliczonych w przeciętny abonament telefoniczny wolę zatelefonować niż polować na kogoś przed komputerem. Natomiast za SP1 wezmę się jak będę miał trochę więcej czasu na to.

 

Dziękuję jeszcze raz za tak potrzebną i skuteczną pomoc!

[picasso]

Zmieniłeś hasła? Czy jakiś antywirus zagościł u Ciebie? Nic o tym nie wspominasz.

 

Natomiast za SP1 wezmę się jak będę miał trochę więcej czasu na to.

 

Nie zaniedbaj tego. To ważne utrzymywać status systemu up-to-date.

 

 

Jeśli nie będziesz miał więcej pytań, temat zamknę.

 

 

 

.

[darek]

Oczywiście, że zmieniłem hasła - te ważne . A co do antywirusa, to microsoftowy właśnie robi pierwsze skanowanie

 

Pytanie mam! Plik o który wcześniej pytałem - rozumiem, że jest to sterownik jakiegoś wirtualnego napędu. Nie instalowałem takich wiec musiał to zrobić Nero, Ultra ISO lub jeszcze coś innego. Pytanie, co?

 

I w zasadzie jak już moja ciekawość zostanie zaspokojona, to temat można zamknąć

[picasso]

Pytanie mam! Plik o który wcześniej pytałem - rozumiem, że jest to sterownik jakiegoś wirtualnego napędu. Nie instalowałem takich wiec musiał to zrobić Nero, Ultra ISO lub jeszcze coś innego. Pytanie, co?

 

Te programy nie pasują do instalacji SPTD. Ale na Twojej liście jest podejrzany:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{7694E0B1-2332-448B-9235-929F84B41E3F}" = Active@ ISO Burner

 

Mówiłam o tym tu: KLIK. Domyślna instalacja tego wypalacza montuje SPTD, co należało właśnie opuścić. Sam program nie wymaga wcale do działania SPTD, o ile nie jest wybrane nagrywanie przez ten interfejs w jego konfiguracji. Odinstaluj SPTD posiłkując się linkowanym już ogłoszeniem i narzędziem SPTDinst.

 

 

 

.

[darek]

Rzeczywiście nie czytałem wątku o emulacji napędów. Pamiętając, że nie instalowałem takich uznałem, że mnie on nie dotyczy - błąd.

Sterownik SPTD już odinstalowany, klucz z rejestru też usunięty Sam program Active@ ISO Burner w rzeczy samej jest u mnie zainstalowany, całkiem o nim zapomniałem.

 

Naprawdę podziwiam Twoją cierpliwość, wiedzę i w ogóle i jeszcze raz muszę serdecznie podziękować!

Edytowane 26 Lutego 2011 przez picasso
Temat rozwiązany. Zamykam. //picasso