darek Opublikowano 23 Lutego 2011 Zgłoś Udostępnij Opublikowano 23 Lutego 2011 Witam. W komputerze mam dwa dyski, pierwszy to trzy partycje i c oczywiście systemowa z Win 7, drugi to kolejne dwie partycje. Sprawa wygląda tak, że w przystawce "Zarządzanie dyskami" brak tego z systemem. Wszystko działa oczywiście poprawnie, w "Komputer", czy Total Commanderze wszystkie partycje na wszystkich dyskach są dostępne, jednak w "Zarządzanie dyskami, jak i w Menadżerze urządzeń widoczny jest tylko ten drugi dysk. Jeśli ktoś zna przyczynę takiego stanu rzeczy i mógłby mnie nakierować na rozwiązanie problemy byłbym wdzięczny. Pozdrawiam, Darek. Odnośnik do komentarza
wieslaw531 Opublikowano 23 Lutego 2011 Zgłoś Udostępnij Opublikowano 23 Lutego 2011 1. Pełna konfiguracja komputera. 2. Obrazek z Zarządzania Dyskami. 3. Obrazek z MU z rozwiniętymi gałęziami Kontrolery i Stacje dysków. Od tego zacznij. Odnośnik do komentarza
darek Opublikowano 23 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2011 Proszę bardzo Tak to wygląda. Poza tym wszystko działa, w biosie oba dyski tez są widoczne. Nie mam pojęcia jaka jest tego przyczyna, żadnych obcych programów do zarządzania dyskami nie instalowałem. Win 7 jest też jedynym systemem w tym komputerze. MSI K7N2 Delta-L Athlon XP 3000+ Ati Radeon 9600 Dysk nr 1 - ST3250620A (232 GB) Dysk nr 2 - ST3160815A (149 GB) 1,5 GB ram Zasilacz jakiś tam Odnośnik do komentarza
wieslaw531 Opublikowano 23 Lutego 2011 Zgłoś Udostępnij Opublikowano 23 Lutego 2011 Brak p. 1. Podaj również typy obu dysków. Co namieszałeś z literami dysków bo coś mi tu nie pasuje. Odnośnik do komentarza
darek Opublikowano 23 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2011 Typy dysków są w poście wyżej. Z literami nic nie namieszałem, Win 7 przypisuje kolejne litery najpierw do partycji podstawowych, stąd dysk D na drugim fizycznie dysku. Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2011 Zgłoś Udostępnij Opublikowano 24 Lutego 2011 Obawiam się, że tu jest infekcja TDL4 w MBR dysku (typowe dlań źródło: crack). To co opisujesz to klasyczne znaki działania tego rootkita. Blokuje pobór danych o dyskach systemowych, zarówno w Menedżerze urządzeń jak i Zarządzaniu dyskami. Tu masz dla porównania z mojej testowej maszyny Windows 7 co się dzieje jak działa ten rootkit: Przed infekcją: Po infekcji: 1. Rozpocznij od użycia Kaspersky TDSSKiller. Jeśli wykryje infekcję, przyznaj Skip (nie naprawiaj tego jeszcze) i wygeneruj raport do oceny. 2. Dołącz także zestaw obowiązkowych raportów przy diagnostyce malware: KLIK. . Odnośnik do komentarza
darek Opublikowano 24 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2011 Proszę, logi poniżej: TDSSKiller OTL OTL-Extras Log z Gmera Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2011 Zgłoś Udostępnij Opublikowano 24 Lutego 2011 1. Wybrałeś już akcję Cure: 2011/02/24 14:39:55.0544 3180 \HardDisk1 - detected Rootkit.Win32.TDSS.tdl4 (0) 2011/02/24 14:42:49.0959 1576 \HardDisk1 - will be cured after reboot2011/02/24 14:42:49.0962 1576 Rootkit.Win32.TDSS.tdl4(\HardDisk1) - User select action: Cure Czy komputer został zresetowany? Pokaż nowy log z TDSSKiller. 2. Należy jeszcze usunąć inne odpadki po trojanach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2010-04-05 12:29:37 | 000,000,000 | -H-- | M] () -- C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2011-02-24 14:46:44 | 000,000,286 | -H-- | M] () -- C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job [2010-12-18 14:39:18 | 000,005,111 | ---- | C] () -- C:\ProgramData\mxnhytee.feu :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Nastąpi restart, po którym otrzymasz log z usuwania. 3. Generujesz nowe logi z OTL. Dołącz i ten powstały z usuwania w punkcie 2. . Odnośnik do komentarza
darek Opublikowano 24 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2011 1. Tak, były dwie opcje, w jednej wybrałem Skip, niestety przez nieuwagę nie zrobiłem tego w w drugiej. Komputer zrestartowany, dysk pokazał się w zarządzaniu dyskami. Nowy log z TDSSKiller 2. Zaraz wykonam pozostałe dwa punkty. Log z działania skryptu Nowy log OTL Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2011 Zgłoś Udostępnij Opublikowano 24 Lutego 2011 W porządku, nowy odczyt z Kasperskiego i wizualne wyniki w przystawkach Windows wskazują na pomyślne wyleczenie MBR. Zadanie w OTL także wykonane. 1. W OTL wywołaj funkcję Sprzątanie. 2. Ze względu na obecność tych trzech usuwanych plików zrób pełny skan przez Malwarebytes' Anti-Malware i zgłoś się tu z wynikami. Odnośnik do komentarza
darek Opublikowano 24 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2011 OK. Na razie serdeczne podziękowania! Już robię sprzątanie i skan. Wynik pełnego skanowania dysku C Miałbym jeszcze jedno pytanie. TDSSKiller wspomniał coś o pliku sptd.sys, co to za plik? Żadna z poprzednich operacji nie usunęła tego pliku a jego właściwości są puste, nie ma ani producenta, wersji a informacje z Internetu mówią, że jest to jakiś szkodnik. A tak poza tym to jeszcze raz serdeczne podziękowania dla Szanownej Pani ! Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2011 Zgłoś Udostępnij Opublikowano 24 Lutego 2011 Infekcja wygląda na zażegnaną. Do wykonania: 1. Zmień wszystkie hasła logowań. Rootkity MBR przechwytują ten typ danych. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Aktualizacja oprogramowania: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish"Gadu-Gadu 10" = Gadu-Gadu 10 Java i Adobe do deinstalacji i zastąpienia przez najnowsze: INSTRUKCJE. Opcjonalnie rozważ i wymianę potwora GG10 na coś bardziej uskrzydlonego, bez reklam i z dobrą obsługą nowego protokołu Gadu (długie numery, szyfrowanie, multilogowanie, ...). Opisy: Darmowe komunikatory. Propozycje z mojej strony: WTW lub Miranda. 4. Aktualizacja systemu: już jest SP1 dla Windows 7. Podaję link do pełnego instalatora (redukuje ryzyko falstartu w porównaniu do pobierania przez Windows Update): Windows 7 Service Pack 1. 5. System nie ma też żadnego oprogramowania antywirusowego z osłoną rezydentną. Zadbaj o to. Pobyt infekcji na Twoim komputerze jest alarmujący. Jeśli program nie ma być zbyt obciążający i rozbudowany, możesz wypróbować darmowy soft Microsoft Security Essentials. Miałbym jeszcze jedno pytanie. TDSSKiller wspomniał coś o pliku sptd.sys, co to za plik?Żadna z poprzednich operacji nie usunęła tego pliku a jego właściwości są puste, nie ma ani producenta, wersji a informacje z Internetu mówią, że jest to jakiś szkodnik. Nie przeczytałeś dokładnie opisu TDSSKiller (GMER zresztą też, bo to podstawa przed uruchomieniem). Cytuję: Uwaga: przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie główne ogłoszenie działu: Oprogramowanie emulujące napędy. Gdyby był szkodliwy, nie opuściłabym tego wyniku z taką nonszalancją. Nie sądzisz? . Odnośnik do komentarza
darek Opublikowano 26 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2011 Dzięki za wszystkie rady, zaktualizowałem wszystko co się dało. Gadulca nie ruszam, bo w zasadzie korzystam z niego od "wielkiego święta", w auto starcie go nie ma a włączam go tylko jak ktoś mnie akurat o to poprosi. W dobie setek minut wliczonych w przeciętny abonament telefoniczny wolę zatelefonować niż polować na kogoś przed komputerem. Natomiast za SP1 wezmę się jak będę miał trochę więcej czasu na to. Dziękuję jeszcze raz za tak potrzebną i skuteczną pomoc! Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2011 Zgłoś Udostępnij Opublikowano 26 Lutego 2011 Zmieniłeś hasła? Czy jakiś antywirus zagościł u Ciebie? Nic o tym nie wspominasz. Natomiast za SP1 wezmę się jak będę miał trochę więcej czasu na to. Nie zaniedbaj tego. To ważne utrzymywać status systemu up-to-date. Jeśli nie będziesz miał więcej pytań, temat zamknę. . Odnośnik do komentarza
darek Opublikowano 26 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2011 Oczywiście, że zmieniłem hasła - te ważne . A co do antywirusa, to microsoftowy właśnie robi pierwsze skanowanie Pytanie mam! Plik o który wcześniej pytałem - rozumiem, że jest to sterownik jakiegoś wirtualnego napędu. Nie instalowałem takich wiec musiał to zrobić Nero, Ultra ISO lub jeszcze coś innego. Pytanie, co? I w zasadzie jak już moja ciekawość zostanie zaspokojona, to temat można zamknąć Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2011 Zgłoś Udostępnij Opublikowano 26 Lutego 2011 Pytanie mam! Plik o który wcześniej pytałem - rozumiem, że jest to sterownik jakiegoś wirtualnego napędu. Nie instalowałem takich wiec musiał to zrobić Nero, Ultra ISO lub jeszcze coś innego. Pytanie, co? Te programy nie pasują do instalacji SPTD. Ale na Twojej liście jest podejrzany: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{7694E0B1-2332-448B-9235-929F84B41E3F}" = Active@ ISO Burner Mówiłam o tym tu: KLIK. Domyślna instalacja tego wypalacza montuje SPTD, co należało właśnie opuścić. Sam program nie wymaga wcale do działania SPTD, o ile nie jest wybrane nagrywanie przez ten interfejs w jego konfiguracji. Odinstaluj SPTD posiłkując się linkowanym już ogłoszeniem i narzędziem SPTDinst. . Odnośnik do komentarza
darek Opublikowano 26 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2011 (edytowane) Rzeczywiście nie czytałem wątku o emulacji napędów. Pamiętając, że nie instalowałem takich uznałem, że mnie on nie dotyczy - błąd. Sterownik SPTD już odinstalowany, klucz z rejestru też usunięty Sam program Active@ ISO Burner w rzeczy samej jest u mnie zainstalowany, całkiem o nim zapomniałem. Naprawdę podziwiam Twoją cierpliwość, wiedzę i w ogóle i jeszcze raz muszę serdecznie podziękować! Edytowane 26 Lutego 2011 przez picasso Temat rozwiązany. Zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi