System nie widzi stacji dysków CD

[rykard]

Witam,

 

na wstępie zaznaczam że jestem absolutnie zielony jeśli chodzi o logi, stąd log z

ComboFixa. OTL i Gmera.

 

Mój problem jest następujący po włożeniu płyty do napędu CD system przestaje widzieć

stację dysków (niema jej w mój komputer ani w menadżerze urządzeń) po prostu

zniknął, a stacji CD niemożna było otworzyć ręcznie.

Po zresetowaniu pojawił się komunikat że Windows nie może odnaleźć pliku /idlist,:988:336,

ComboFixa zasygnalizował odnalezienie rootkit, po jego uszyciu problem jakby znikł.

Udało się otworzyć stację CD i wyjąc płytę ale przy kolejnej próbie wszystko powtórzyło się odnowa.

 

Będę wdzięczny za każdą pomoc.

Log.ComboFix22.03.11.txt

Log Gmer 22.03.11.txt

Extras.Txt.22.03.11.txt

OTL.Txt.22.03.11.txt

[picasso]

W raportach nie widać żadnych śladów infekcji. Natomiast:

 

DRV - [2011-03-18 11:22:31 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

Jeśli chodzi o zgłoszenia "rootkit" to możliwe, że to pochodzi od sterownika emulacji napędów wirtualnych SPTD (który zawsze się usuwa przed podjęciem się w ogóle próby uruchomienia ComboFix / GMER). W logu z ComboFix nie widać, by było cokolwiek usuwane, ale to i tak wygląda na niewłaściwy log = uruchomiłeś ComboFix więcej niż raz, czyli podany tu log nie przedstawia sytuacji zastanej dokładnie przy pierwszym uruchomieniu. Proszę pokazać zawartość pliku ComboFix-quarantined-files.txt.

 

 

Udało się otworzyć stację CD i wyjąc płytę ale przy kolejnej próbie wszystko powtórzyło się odnowa.

 

Jeśli po użyciu ComboFix "problem jakby znikł", by ponownie wrócić, to się nasuwa że chodzi o ów sterownik SPTD (narzędzie próbuje go wyłączać). A skoro tu jest jeszcze problem z CD-ROMem, to tym bardziej. Zacznij od tego:

 

1. Deinstalacja oprogramowania emulującego napędy (Alcohol / DAEMON) + usunięcie sterownika SPTD narzędziem SPTDinst, a wszystko zatwierdzone restartem systemu. Opis akcji w ogłoszeniu: KLIK. Kolejność jest istotna: najpierw się usuwa programy, a dopiero na koniec sterownik SPTD.

 

2. Na wszelki wypadek jeszcze sprawdź filtry sprzętowe, czy na CD-ROM nie zostały nałożone. Podsuwam ten artykuł opisowy z gotowym narzędziem reperującym Fix-it: KB982116.

 

3. Jak się uporasz z powyższym:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

Fatalny stan aktualizacji systemu. Sito i odcięcie od bieżących aktualizacji krytycznych (MS nie dopuszcza do aktualizowania systemów poniżej XP SP3). Do obowiązkowej instalacji: Service Pack 3 + Internet Explorer 8. Tak, IE też musi być aktualizowany, niezależnie od tego, że używasz tylko Firefox. Z silnika IE korzysta w trybie cichym system i różne aplikacje, bez Twojej interwencji.

 

4. Pulpitowe gadżety adni uruchamiają się "ze śmietnika", czyli z tempów (a powinny pracować z lokalizacji stałej):

 

PRC - [2009-09-29 10:47:28 | 000,588,800 | ---- | M] () -- C:\Documents and Settings\R\Ustawienia lokalne\temp\{35C73E8F-7EBC-4840-8DF4-37197FB69822}\adni18_clock.exe
PRC - [2009-07-12 12:21:00 | 000,859,648 | ---- | M] () -- C:\Documents and Settings\R\Ustawienia lokalne\temp\{577DCB1D-88E2-4F8F-87E4-758B15C7B659}\adni18_Double_Weather-Calendar.exe

Aczkolwiek Autostart pokazuje, że jest uruchamianie skrótów kierujących gdzie indziej (dysk D):

 

O4 - Startup: C:\Documents and Settings\R\Menu Start\Programy\Autostart\adni18_clock.lnk = D:\Programy\Zegar i Temperatura\adni18_clock.exe ()
O4 - Startup: C:\Documents and Settings\R\Menu Start\Programy\Autostart\adni18_Weather-Calendar.lnk = D:\Programy\Zegar i Temperatura\adni18_Double_Weather-Calendar.exe ()

To jak to w końcu jest?

 

 

 

.

[rykard]

Dziękuje za pomoc.

 

Tak faktycznie to był log z 2 użycia ComboFixa, poniżej zamieszczam właściwy log, oraz zawartość

ComboFix-quarantined-files.txt.

 

2011-03-21 20:51:37 . 2011-03-22 16:59:18 7,338 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2011-03-21 08:31:35 . 2011-03-22 16:55:13 408 ----a-w- C:\Qoobox\Quarantine\catchme.log

2011-03-19 07:14:44 . 2011-03-19 07:14:57 546 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\R\ntuser.pol.vir

 

 

Co do napędu CD-ROMu postąpiłem jak w p. 1 i usunąłem zgodnie z instrukcją sterownik SPTD i podziałało.

Przy p. 2 narzędzie Fix-it wymusiło instalacje Service Pack 3 i Internet Explorer 8 (czyli zalecono przez Ciebie aktualizacje)

oraz pakiet redystrybucyjny systemu dotnetfx NET Framework, po czym kiedy chciałem użyć Fix-it wyskoczył komunikat:

 

Nie można kontynuować rozwiązywania problemów przy użyciu poprawek Fix it, ponieważ wystąpił błąd.

Na tym komputerze nie można stosować ego narzędzia do rozwiązywania problemów.

 

Tak więc zastanawiam się czy ten typ tak ma czy powinienem się martwić.

 

 

Co do gadżetów pulpitu to przy każdorazowym uruchomieniu samoistnie powstają katalogi w tempach:

C:\Documents and Settings\R\Ustawienia lokalne\temp\{08B678ED-932C-4C0D-98AC-CBA795D9FDBB}

C:\Documents and Settings\R\Ustawienia lokalne\temp\{B905A123-0977-41A2-969D-40FDE649AF63}

Pomimo że oba programy są na partycji D

 

 

Chciałbym jeszcze spytać czy powinienem wygenerować kolejny log i z którego programu.

 

Pozdrawiam

ComboFix2.txt

[picasso]

Co do napędu CD-ROMu postąpiłem jak w p. 1 i usunąłem zgodnie z instrukcją sterownik SPTD i podziałało.

 

Wnioski z tego są takie: SPTD tworzy kolizję i nie ponawiaj instalacji programów, które go wprowadzają (Alcohol / Daemon). Jest też możliwość, że chodzi o wersję tego sterownika, ale sprawdzenie tego moim zdaniem nie warte zachodu (i nie wiadomo o ile wersji SPTD należy się cofnąć, by trafić w tę "przyjazną"). Ten sterownik SPTD to silny obiekt, działa techniką rootkit-podobną, lepiej dla systemu, że go nie będzie miał.

 

 

Przy p. 2 narzędzie Fix-it wymusiło instalacje Service Pack 3 i Internet Explorer 8 (czyli zalecono przez Ciebie aktualizacje)

oraz pakiet redystrybucyjny systemu dotnetfx NET Framework, po czym kiedy chciałem użyć Fix-it wyskoczył komunikat:

 

Nie można kontynuować rozwiązywania problemów przy użyciu poprawek Fix it, ponieważ wystąpił błąd.

Na tym komputerze nie można stosować ego narzędzia do rozwiązywania problemów.

 

Widzę, że chyba podmieniono narzędzie w artykule. Wcześniej widziałam tam inny rodzaj "Fix-it". No tak. Microsoft nie wykazał ścisłości w artykule. Artykuł jest przeznaczony dla trzech systemów (XP / Vista / 7), a eksponowane narzędzie Fix-it sugeruje możliwość zastosowania na wszystkich. Tak nie jest, ów diagnostyk jest przeznaczony tylko dla Vista i 7.

Nie widzę już potrzeby żadnych dodatkowych weryfikacji przy fakcie rozwiązania problemu z którym przyszedłeś. Dla świętego spokoju możesz ręcznie w rejestrze sprawdzić czy są jakieś filtry, bazując na opisie dla XP w artykule.

 

Jednakże próby uruchamienia tego narzędzia wyszły Ci na dobre, bo przyśpieszyły instalację SP3 / IE8. Nie jestem pewna czy tak szybko byś się za to zabrał, gdyby nie ten drobny nacisk. Te aktualizacje są bardzo ważne. Czy po instalacji SP3 odwiedziłeś Windows Update? SP3 jest datowany na rok 2008, trzy lata w zabezpieczeniach to przepaść, wyszło wiele łat po wydaniu SP3.

 

 

Co do gadżetów pulpitu to przy każdorazowym uruchomieniu samoistnie powstają katalogi w tempach:

C:\Documents and Settings\R\Ustawienia lokalne\temp\{08B678ED-932C-4C0D-98AC-CBA795D9FDBB}

C:\Documents and Settings\R\Ustawienia lokalne\temp\{B905A123-0977-41A2-969D-40FDE649AF63}

Pomimo że oba programy są na partycji D

 

Rzeczywiście, sprawdziłam te gadżety u siebie i tak się dzieje. Niby są na dysku w określonym miejscu, ale ich uruchomienie jest inicjowane via katalogi Temp. Dziwna technika.

 

 

Chciałbym jeszcze spytać czy powinienem wygenerować kolejny log i z którego programu.

 

To nie jest potrzebne. Nie jest to problem infekcji. W związku z tym, że uzyskałam potwierdzenie tego faktu, temat zmienia dział na Windows XP. Wykonaj jeszcze końcowe kroki porządkowe, w prawidłowy sposób odinstaluj ComboFix. W Start > Uruchom > wklej polecenie: E:\ComboFix.exe /uninstall

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"ffdshow_is1" = ffdshow [rev 2754] [2009-03-10]
"KLiteCodecPack_is1" = K-Lite Codec Pack 7.0.0 (Full)
"Mozilla Firefox (3.6.15)" = Mozilla Firefox (3.6.15)

Końcowe komentarze do oprogramowania:

 

• Adobe Reader do deinstalacji i wymiany najnowszym Adobe Reader X (10.0.1) (odptaszkuj montaż sponsora McAfee).
  
• Lisek wyszedł już w stabilnej wersji Firefox 4.0
  
• Jest tu nowy K-Lite a jednocześnie bardzo stary ffdshow. Czy jest jakiś powód dla braku aktualizacji tego filtra? Jest jeszcze nowszy K-Lite 7.0.4 do pobrania i on montuje nowy ffdshow.
  

 

 

.

[rykard]

Wielkie dzięki za pomoc i serdecznie pozdrawiam.