patefoniQ Opublikowano 21 Czerwca 2011 Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 Proszę o analizę logów z OTL i doradztwo w oczyszczeniu systemu. otl.txt => http://wklej.org/id/550178/ extras.txt => http://wklej.org/id/550181/ Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2011 Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 Logi mają datę na 10 lat do tyłu "OTL logfile created on: 2001-01-01 00:51:49", co nasuwa skojarzenia z resetowaniem się BIOS + wyczerpaniem bateryjki, o ile to nie była jakaś manipulacja ręczna. Czyli problem pokroju sprzętowego. Skąd wybór miejsca na temat w dziale Malware - czy jest tu jakieś podejrzenie bądź znaki infekcji? I skoro temat zakładasz w dziale Malware, to brakuje obowiązkowego loga z GMER. Był tu używany na wariata ComboFix (to nie jest narzędzie domowego użytku), a nie ma ani słowa o tym, ani brak raportu który wtedy wygenerował. Proszę zaprezentować C:\ComboFix.txt do oceny, czy coś niepożądanego się tam nie stało. 1. Znaków infekcji tu nie widzę. Jedyne co ewentualnie może być podejrzane, to dubel Kosza: [2005-01-07 10:40:24 | 000,000,000 | -HSD | C] -- C:\RECYCLER[2004-12-07 05:01:47 | 000,000,000 | -HSD | C] -- C:\Recycled Kosz na NTFS to RECYCLER a nie RECYCLED. Na NTFS może to być tylko w jednej niewirusowej sytuacji: NTFS był konwertowany z FAT32, po konwersji Windows zachowuje starą nazwę Kosza. Jeśli nic takiego nie miało miejsca, to RECYCLED może pochodzić od infekcji. W związku z tym, że RECYCLER tu jest, RECYCLED do kasacji. 2. I co to za pliki: [2011-06-13 07:54:02 | 000,000,000 | ---- | M] () -- C:\t14k.6 [2011-05-04 08:41:45 | 000,000,000 | ---- | M] () -- C:\t13o.1 [2011-04-28 07:38:33 | 000,000,000 | ---- | M] () -- C:\t14o.e [2011-04-18 08:05:04 | 000,000,000 | ---- | M] () -- C:\t14k.5 [2011-04-12 07:50:17 | 000,000,000 | ---- | M] () -- C:\t14o.d [2011-04-08 08:06:46 | 000,000,000 | ---- | M] () -- C:\t140.3 [2011-04-07 08:00:32 | 000,000,000 | ---- | M] () -- C:\t14o.c [2011-04-06 08:42:06 | 000,000,000 | ---- | M] () -- C:\t150.2 [2011-03-11 09:08:22 | 000,000,000 | ---- | M] () -- C:\t14o.b [2011-03-08 13:25:42 | 000,000,000 | ---- | M] () -- C:\t14o.a [2011-03-07 08:48:21 | 000,000,000 | ---- | M] () -- C:\t14o.9 [2011-03-04 08:54:55 | 000,000,000 | ---- | M] () -- C:\t140.2 [2011-03-01 08:59:20 | 000,000,000 | ---- | M] () -- C:\t14o.8 [2011-02-24 08:53:17 | 000,000,000 | ---- | M] () -- C:\t148.1 [2011-02-14 08:52:41 | 000,000,000 | ---- | M] () -- C:\t14k.4 [2011-01-19 09:43:11 | 000,000,000 | ---- | M] () -- C:\t14o.7 [2011-01-07 05:32:04 | 000,000,000 | ---- | M] () -- C:\t14o.6 [2010-11-23 09:43:31 | 000,000,000 | ---- | M] () -- C:\t14o.5 [2010-10-26 08:11:23 | 000,000,000 | ---- | M] () -- C:\t14o.4 [2010-10-25 08:04:45 | 000,000,000 | ---- | M] () -- C:\t14k.3 [2010-10-19 07:55:48 | 000,000,000 | ---- | M] () -- C:\t14s.1 [2010-10-01 09:23:06 | 000,000,000 | ---- | M] () -- C:\t14o.3 [2010-09-30 08:45:26 | 000,000,000 | ---- | M] () -- C:\t14k.2 [2010-09-29 08:13:59 | 000,000,000 | ---- | M] () -- C:\t14o.2 [2010-09-28 07:52:38 | 000,000,000 | ---- | M] () -- C:\t14o.1 [2010-09-15 08:15:55 | 000,000,000 | ---- | M] () -- C:\t14k.1 [2010-08-30 08:23:15 | 000,000,000 | ---- | M] () -- C:\t150.1 [2010-04-08 08:30:31 | 000,000,000 | ---- | M] () -- C:\t140.1 "zamulony PC " = słaby opis problemu. A na podstawie raportów to nie za bardzo tu będzie konkluzja. Proszę wyraźnie opisać objawy, kiedy występuje zamulenie i na czym to właściwie polega. 1. Można ze startu wyłączyć kilka rzeczy (głównie aktualizatory), w programie Autoruns w karcie Logon do odznaczenia: O4 - HKLM..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe ()O4 - HKLM..\Run: [uC_SMB] File not foundO4 - HKLM..\Run: [uC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe ()O4 - HKLM..\Run: [updateManager] c:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe (Sonic Solutions)O4 - HKU\S-1-5-21-3414583639-1098268353-1501978234-500..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe (IBM) Przy okazji w karcie Internet Explorer usuń te szczątki: O2 - BHO: (no name) - {830D9734-29F6-7F25-8697-00A2DDA268CB} - No CLSID value found.O3 - HKU\S-1-5-21-3414583639-1098268353-1501978234-500\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. Zaś w karcie Scheduled Tasks usuń zadania Google + Install. 2. W ogóle nie aktualizowany Windows-sito, odcięty od wszystkich krytycznych aktualizacji (MS nie dopuszcza do ich pobierania XP poniżej progu SP3): Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Do obowiązkowej instalacji Service Pack 3 + Internet Explorer 8 oraz po zamontowaniu tych baz odwiedziny Windows Update w celu uzupełnienia wszystkich krytycznych łat wydanych po roku 2008.... 3. Drobniejsze aktualizacje do wykonania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 24"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl) szczegóły aktualizacyjne w tym wątku: INSTRUKCJE. 4. Sterowniki mocno sfatygowane. Kolejne odwiedziny, tym razem producenta sprzętu, w celu sprawdzenia czy jest możliwa aktualizacja. 5. Podstawowa ilość RAM: 502,98 Mb Total Physical Memory | 143,95 Mb Available Physical Memory | 28,62% Memory free1,20 Gb Paging File | 0,92 Gb Available in Paging File | 76,59% Paging File freePaging file location(s): C:\pagefile.sys 756 1512 [binary data] . Odnośnik do komentarza
patefoniQ Opublikowano 21 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 Logi mają datę na 10 lat do tyłu "OTL logfile created on: 2001-01-01 00:51:49", co nasuwa skojarzenia z resetowaniem się BIOS + wyczerpaniem bateryjki, o ile to nie była jakaś manipulacja ręczna. Czyli problem pokroju sprzętowego. Zgadza się, resetuje się BIOS Skąd wybór miejsca na temat w dziale Malware - czy jest tu jakieś podejrzenie bądź znaki infekcji? I skoro temat zakładasz w dziale Malware, to brakuje obowiązkowego loga z GMER. Był tu używany na wariata ComboFix (to nie jest narzędzie domowego użytku), a nie ma ani słowa o tym, ani brak raportu który wtedy wygenerował. Proszę zaprezentować C:\ComboFix.txt do oceny, czy coś niepożądanego się tam nie stało. Wybór miejsca z tego względu, że SEP (symantec enterprise protection) krzyczał ciągle, że ma zagrożenie wirusowe. Ogólnie wiem, że ten antywirus to śmietnik, ale komputer też ogólnie wolno chodzi. Jestem na etapie pisania oferty na NOD32 corporate. Co do combofixa, to zawieszał komputer w momencie " przypadku mocno zainfekowanych komputerów czas skanowania może się nieznacznie przedłużyć ". GMER się już od ponad półtorej godziny wykonuje i czekam na jego koniec, by podrzucić tutaj ejgo log. Punkt 4 nie do wykonania. Jest to komputer IBM, a po przejęciu go przez Lenovo, starszy sprzęt został odcięty od aktualizacji (tyczy się to tylko komputerów stacionarnych). Ogólnie dziękuję za pomoc i jak tylko skończy się GMER, to go wkleję. Aktualizacja jest odcięta przez politykę AD, którą nie ja konstruowałem. Jak tylko skończę skany, to zaktualizuję system. Odnośnik do komentarza
Anonim3 Opublikowano 21 Czerwca 2011 Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 (edytowane) I wymień bateryjkę CMOS'u, problemem może też być tryb w jakim pracuje dysk twardy, jeśli jest to PIO to radą na to jest odinstalowanie kontrolerów i restart komputera. Edytowane 25 Lipca 2011 przez picasso 25.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
.thumb.jpg.f66e657f92c7a830f30c424bc48d7f46.jpg){kind=avatar}
Rekomendowane odpowiedzi