Bezpieczeństwo - firewalle, antyviry, spam, reklamy ect.

[Sevard]

Folder zmień za pomocą polecenia "cd" i dopiero jak już będziesz w folderze użyj "attrib". Jeśli dysk sprawdzałeś Scandisk-iem, to sprawdź jeszcze w konsoli za pomocą chkdsk. Składnia polecenia:

chkdsk X: /F

gdzie X to litera dysku.

[wies.niak]

Odpal "chkdsk x: /f" gdzie x to litera partycji, na której masz ten plik. Jeśli jest systemowa, to zgódź się, by skan nastąpił po restarcie. W przeciwnym razie pewnie spyta, czy odłączyć wolumin - też się zgodzisz.

[Professor00179]

Nareszcie jak spróbowałem już setny raz uruchomic CombiFix to podziałało. Oto log z tego programu. Sorry, że tak dłuuugo nic nie pisałem, ale nie małem dostępu do kompa.

ComboFix.txt

[wies.niak]

Combofix nieźle wykosił już, ale jeszcze parę rzeczy jest.

Stwórz za pomocą notatnika plik CFScript.txt o treści:

File::

c:\windows\system32\megejiwe.dll

c:\windows\system32\zowavami.dll

c:\windows\system32\puzesale.dll

c:\windows\system32\ritinezu.dll

c:\windows\system32\tarowata.dll

c:\windows\system32\tevaziva.dll

c:\windows\system32\tupopazo.dll

c:\windows\system32\yapakati.dll

c:\windows\system32\yayutoto.dll

c:\windows\system32\yimibide.dll

c:\windows\system32\fawedevi.dll

c:\windows\system32\fegufula.dll

c:\windows\system32\ganafihe.dll

c:\windows\system32\gosijado.dll

c:\windows\system32\huwuniva.dll

c:\windows\system32\kekuzevi.dll

c:\windows\system32\mulirowo.dll

c:\windows\system32\prunnet.exe

c:\windows\system32\bapepopo.dll

c:\windows\system32\twext.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"prunnet"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"80a163e0"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUoMgeD]

Plik zapisujesz, po czym przeciągasz ikonę pliku na ikonę combofix - nastąpi czyszczenie i może nastąpić reset.

Polecam wyłączyć (i włączyć ewentualnie) przywracanie systemu po czyszczeniu.

Poza tym jest jeszcze

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\twext.exe,"

ale nie wiem, czy jeśli podam odpowiednią wartość, to combofix ją zmieni, czy wywali, a trochę nie chcę ryzykować...

Proponuję, po czyszczeniu za pomocą combofix, zmodyfikować podany wyżej wpis do postaci

"Userinit"="c:\windows\system32\userinit.exe,"

używając regedit.

[MHmario1617]

Sprawdziłem tą partycję po restarcie tak jak napisaliście i nic. Uparło się...

[M@TH3V]

Najpierw wyłącz sprawdzanie partycji chhkdsk -> restart PC -> znow przez konsole wstukujesz aby sprawdzil partycje po restarcie.

Miałem ostatnio tak samo i pomogło : )

[MHmario1617]

Folder zmień za pomocą polecenia "cd" i dopiero jak już będziesz w folderze użyj "attrib". Jeśli dysk sprawdzałeś Scandisk-iem, to sprawdź jeszcze w konsoli za pomocą chkdsk. Składnia polecenia:

chkdsk X: /F

gdzie X to litera dysku.

Jeśli byś mógł pierwsze zdanie opisać krok po kroku, bo nie bardzo łapię, to był bym wdzięczny.

[Sevard]

W trochę zakręcony sposób to zapisałem, tak naprawdę były tam 2 różne porady.

Pierwsza część dotyczy się użycia attrib-a. bo część wirusów i tego typu świństw lubi tak ustawiać pliki, żeby nie dało się ich skasować, a o dziwo mimo iż zastosowanie attrib-a jest zupełnie inne, to świetnie nadaje się do sprawdzenia, czy dany plik istnieje i zdejmuje część tego typu zabezpieczeń.

Ta część powinna wyglądać tak, w konsoli:

cd "documents and settings\[nazwa użytkownika]\Desktop"

attrib -r -s -a [nazwa pliku]

i dalej jak w moim poście z piątku z 21:30.

Druga część dotyczy sprawdzenia dysku, bo niestety scandisk niewiele tak naprawdę robi, co do tej części, to @wies.niak dobrze Ci to rozpisał.

[MHmario1617]

Pojawiło się: "System nie może odnaleźć określonej ścieżki."

Przeskanowałem dysk jeszcze raz i tym razem coś wykrył, to wyglądało mniej więcej tak: "Przywrócono sprawność systemu po poważnym błędzie..." i jeszcze kilka razy jak robiłem "zamknij" pojawiała się ta informacja. Ale ten plik cały czas jest na pulpicie i nie da się go usunąć... przynajmniej internet zaczął mi trochę lepiej chodzić.

Jest coraz gorzej, teraz nawet na zamknięcie systemu trzeba czekać ok. min.

[MHmario1617]

Teraz to nawet często zdarzają się restarty systemu. A z tym internetem to jest tak, że chodzi dobrze przez pierwszą minutę a później wraca wszystko do "normy".

[wies.niak]

Wrzuć log z combofix, zobaczymy, czy nie masz czegoś więcej w systemie.

[Sevard]

Mam złe przeczucia w takim układzie. Wejdź na stronę producenta swojego dysku i poszukaj narzędzi diagnostycznych przeznaczonych dla Twojego dysku. Ściągnij i odpal, tylko uwaga, narzędzia DOS-owe odpalaj w czystym DOS-ie.

Poza tym wyłącz automatyczne restarty po wystąpieniu błędów, by to zrobić:

p-klik na Mój Komputer -> Właściwości, na karcie Zaawansowane kliknij ustawienia przy Uruchamianie i Odzyskiwanie i tam wyłącz automatyczny restart po wystąpieniu błędu.

Po tym przez jakiś czas obserwuj system, jeśli wyskoczy Blue Screen of Death, to spisz komunikaty. Różne dziwne ciągi losowych znaków możesz sobie darować. Jeśli komputer się mimo to zresetuje, to najlepszym pomysłem jest chyba udanie się do serwisu.

Jakiego masz antywirusa?

[MHmario1617]

AVG Free 8.0.237

Combofix mnie zapytał czy chcę zainstalować " 'KONSOLI ODZYSKIWANIA SYSTEMU WINDOWS' Zainstalowanie jej leży w twoim NAJWIĘKSZYM INTERESIE." I teraz nie wiem czy to zainstalować.

Pojawił mi się ten niebieski ekran i było tam napisane:

Pojawił się problem: system windows zostanie zamknięty, aby zapobiec uszkodzeniu komputera.

Jeśli po raz pierwszy widzisz ekran błędu stop, ponownie uruchom komputer. Jeśli ten ekran pojawił się ponownie, wykonaj następujące kroki:

Upewnij się czy wszelki nowy sprzęt i oprogramowanie są poprawnie zainstalowane. Jeśli jest to nowa instalacja, poproś producenta sprzętu lub oprogramowania o wszelkie aktualizacje dla systemu windows, które mogą być potrzebne.

Jeśli problemy będą się powtarzać, wyłącz lub usuń wszelki nowo zainstalowany sprzęt i oprogramowanie. Wyłącz opcje pamięci systemu Bios, takie jak bufowanie i przesłanianie. Jeśli do usunięcia lub wyłączenia składników musisz użyć trybu awaryjnego, ponownie uruchom komputer, naciśnij klawisz F8 aby wyświetlić zaawansowane opcje startowe, a następnie wybierz opcję Trybu awaryjny.

Informacje techniczne:

***stop: i tu był ten kod, którego nie kazałeś pisać.

Rozpoczynanie zrzucania fizycznej pamięci.

Zrzut pamięci fizycznej zostanie zakończony. W sprawie dalszej pomocy skontaktuj się z administratorem systemu lub obsługą tech.

[Sevard]

No dobra, to najpierw daj loga z Combofix-a, tak jak prosił @wies.niak, jeśli tam nic nie znajdziemy, to będziemy kombinować dalej.

[edit]

Komunikat o instalacji konsoli możesz olać. Jednak te dziwne znaczki następnym razem też spisz, ewentualnie prześlij raport o błędzie, który powinien być w dzienniku zdarzeń:

Panel sterowania -> Narzędzia administracyjne -> Podgląd zdarzeń

[wies.niak]

Różne dziwne ciągi losowych znaków możesz sobie darować.

Toś poradził... Akurat kazałeś pominąć to, co jest w BSOD najbardziej istotne.

MHmario1617 -> Tak, możesz zainstalować konsolę odzyskiwania.

Zrzut pamięci. Użyj programu debugging tools for windows do załadowania zrzutu (file -> open crash dump). Sam zrzut będzie w katalogu windows\minidump. Jeśli plików jest więcej, wybierz najnowszy. Po otwarciu pliku wyświetlą się pewne informacje - wrzuć je na forum.

Aha, log z combofix daj jako załącznik do postu.

[Sevard]

Toteż się zreflektowałem, żeby je jednak zamieścił. Inna sprawa, że miałem nadzieję, że BSOD wyrzuci jaki plik może powodować błąd, no ale niestety w tym przypadku nic takiego nie wyskoczyło.

[MHmario1617]

log_forum_cda.txt

Mam nadzieję, że nie ma tam nic kompromitującego

A ten kod, którego wcześniej nie napisałem to:

***stop: 0x0000000A (0x000000E8, 0x00000002, 0x00000001, 0x806E4A16)

Akurat go szukałem kiedy... znowu się zawiesił i już nie musiałem szukać. To chyba pierwszy raz kiedy nie zdenerwowałem się na dźwięk szybkiego przerywanego dźwięku

[Sevard]

Ja nic szkodliwego nie widzę. Narzędzie diagnostyczne od producenta dysku coś znalazło?

[MHmario1617]

Z tym programem do diagnostyki to jest tak, że jak go uruchamiam to słychać trzykrotny pisk i automatycznie się zamyka.

Microsoft ® Windows Debugger Version 6.11.0001.402 X86

Copyright © Microsoft Corporation. All rights reserved.

Loading Dump File [H:\WINDOWS\Minidump\Mini021509-11.dmp]

Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: *** Invalid ***

****************************************************************************

* Symbol loading may be unreliable without a symbol search path. *

* Use .symfix to have the debugger choose a symbol path. *

* After setting your symbol path, use .reload to refresh symbol locations. *

****************************************************************************

Executable search path is:

*********************************************************************

* Symbols can not be loaded because symbol path is not initialized. *

* *

* The Symbol Path can be set by: *

* using the _NT_SYMBOL_PATH environment variable. *

* using the -y <symbol_path> argument when starting the debugger. *

* using .sympath and .sympath+ *

*********************************************************************

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe

Windows XP Kernel Version 2600 (Service Pack 2) MP (4 procs) Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Machine Name:

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055c700

Debug session time: Sun Feb 15 16:42:27.359 2009 (GMT+1)

System Uptime: 0 days 1:11:20.315

*********************************************************************

* Symbols can not be loaded because symbol path is not initialized. *

* *

* The Symbol Path can be set by: *

* using the _NT_SYMBOL_PATH environment variable. *

* using the -y <symbol_path> argument when starting the debugger. *

* using .sympath and .sympath+ *

*********************************************************************

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe

Loading Kernel Symbols

...............................................................

............................................................

Loading User Symbols

Loading unloaded module list

..............

*** WARNING: Unable to verify timestamp for hal.dll

*** ERROR: Module load completed but symbols could not be loaded for hal.dll

Unable to load image afd.sys, Win32 error 0n2

*** WARNING: Unable to verify timestamp for afd.sys

*** ERROR: Module load completed but symbols could not be loaded for afd.sys

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000000A, {e8, 2, 1, 806e4a16}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*** WARNING: Unable to verify timestamp for avgtdix.sys

*** ERROR: Module load completed but symbols could not be loaded for avgtdix.sys

*** WARNING: Unable to verify timestamp for tcpip.sys

*** ERROR: Module load completed but symbols could not be loaded for tcpip.sys

*** WARNING: Unable to verify timestamp for NDIS.sys

*** ERROR: Module load completed but symbols could not be loaded for NDIS.sys

*** WARNING: Unable to verify timestamp for psched.sys

*** ERROR: Module load completed but symbols could not be loaded for psched.sys

*** WARNING: Unable to verify timestamp for NVENETFD.sys

*** ERROR: Module load completed but symbols could not be loaded for NVENETFD.sys

*************************************************************************

*** ***

*** ***

*** Your debugger is not using the correct symbols ***

*** ***

*** In order for this command to work properly, your symbol path ***

*** must point to .pdb files that have full type information. ***

*** ***

*** Certain .pdb files (such as the public OS symbols) do not ***

*** contain the required information. Contact the group that ***

*** provided you with these symbols if you need this command to ***

*** work. ***

*** ***

*** Type referenced: nt!_KPRCB ***

*** ***

*************************************************************************

*************************************************************************

*** ***

*** ***

*** Your debugger is not using the correct symbols ***

*** ***

*** In order for this command to work properly, your symbol path ***

*** must point to .pdb files that have full type information. ***

*** ***

*** Certain .pdb files (such as the public OS symbols) do not ***

*** contain the required information. Contact the group that ***

*** provided you with these symbols if you need this command to ***

*** work. ***

*** ***

*** Type referenced: nt!_KPRCB ***

*** ***

*************************************************************************

*********************************************************************

* Symbols can not be loaded because symbol path is not initialized. *

* *

* The Symbol Path can be set by: *

* using the _NT_SYMBOL_PATH environment variable. *

* using the -y <symbol_path> argument when starting the debugger. *

* using .sympath and .sympath+ *

*********************************************************************

*********************************************************************

* Symbols can not be loaded because symbol path is not initialized. *

* *

* The Symbol Path can be set by: *

* using the _NT_SYMBOL_PATH environment variable. *

* using the -y <symbol_path> argument when starting the debugger. *

* using .sympath and .sympath+ *

*********************************************************************

Probably caused by : avgtdix.sys ( avgtdix+1cb1 )

Followup: MachineOwner

---------

To jest to o co prosił mnie wies.niak

[Sevard]

Wygląda to na błąd spowodowany przez AVG, spróbuj przeinstalować, może pomoże. Co do narzędzia diagnostycznego, to dziwnie się zachowuje i nie mam pojęcia co może być tego przyczyną.

[MHmario1617]

Przeinstalowałem ale to nic nie pomogło.

[Sevard]

Nie sądzę, by to było to, ale nie zaszkodzi sprawdzić. Przeskanuj pamięć za pomocą MemTest86+, żeby sprawdzić, czy to nie jest coś z pamięcią.

Poza tym możesz przeskanować dysk za pomocą programu HD Tune. Możesz też sprawdzić ogólną kondycję dysku za pomocą HDD Health.

No i pytanie, które w sumie powinno paść na początku. Podkręcałeś kompa? Jeśli tak, to przywróć wszystko do ustawień fabrycznych. Jeśli nie, to i tak sprawdź jakie temperatury wskazują czujniki zaraz po padnięciu systemu.

[MHmario1617]

Nie, komputera nie podkręcałem, a czujniki pokazują taką samą temperaturę co przed restartem. A to może przez to, że ja niedawno czyściłem dysk przy pomocy programu domyślnego dla Windows.

[Sevard]

Mało prawdopodobne, ale możliwe. Sprawdź w HD Tune w zakładce Health, czy przy wszystkich parametrach jest OK w Status, jeśli tak, to jeśli zrobiłeś skan pamięci i wszystko było w porządku, to najprawdopodobniej masz jakiś problem z systemem lub procesorem. Jakbyś miał znowu BSOD, to porównaj kody błędów (to co występuje po stop) ze wcześniejszymi, tzn. napisz, czy są takie same, czy inne.

[edit]

W sumie możesz jeszcze zobaczyć co się będzie działo, gdy usuniesz AVG i zainstalujesz innego antywirusa.

[MHmario1617]

W HD Tune wszystko na O.K. MemTest86+ nawet nie dało się uruchomić, (wersja 2.11) jest w formie pliku (Plik IMG) i za każdym razem jak klikam otwórz to wyświetla mi się lista programów.