Skocz do zawartości


tablety.pl
Zdjęcie

Dziwny pasek narzędzi, system zawiesza się po starcie




  • Zaloguj się, aby dodać odpowiedź
5 odpowiedzi w tym temacie

#1 Veg4s

Veg4s

    First Rank

  • Użytkownicy
  • 12 postów

Napisano 31 10 2014 - 00:08

System: Windows Vista SP1 32bit
 
Mam problem z laptopem. Po załadowaniu systemu pokazuje się jakiś podejrzany pasek narzędzi na górze ekranu z plikami z pulpitu. System po kilku sekundach zawiesza się tak, że nic nie można zrobić. Pozostaje tylko hard reset.
W trybie awaryjnym też pojawia się ten pasek, ale system działa normalnie. Gmer wyświetlił komunikat o wystąpieniu rootkit po pełnym skanowaniu. Proces zaznaczony na czerwono wyświetlił się jako hidden.
Proszę o sprawdzenie logów z OTL i Gmer w trybie awaryjnym:
 

OTL http://wklej.to/iZ5bh
 

Gmer http://wklej.to/dNNTw



#2 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5774 postów
  • Płeć:Mężczyzna

Napisano 31 10 2014 - 00:12

W logu GMER nie widać żadnego Rootkita.

Log był robiony w czasie działania sterownika "sptd.sys", a ten sterownik działa jak Rootkit, choć jest oczywiście legalny.

 

Nie widzę w logach niczego podejrzanego.

 

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2014-08-28 07:45:10 | 000,000,000 | ---D | M] -- C:\Users\Eva\AppData\Roaming\eCyber
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/...indows-i586.cab (Java Plug-in 10.40.2)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Java Plug-in 10.40.2)
O4 - HKLM..\Run: [StatusAutoRun3010] "C:\Program Files\Xerox Office Printing\WorkCentre SSW\PrintingScout\xrksmpl.exe" Xerox Phaser 3010,hide,\S File not found
O4 - HKLM..\Run: [Firebird]  File not found
O4 - HKLM..\Run: [Launcher3010] "C:\Program Files\Xerox Office Printing\WorkCentre SSW\Launcher\xrlaunch.exe" /S Xerox Phaser 3010 File not found
O4 - HKLM..\Run: [NPSStartup]  File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17: D:\Michał\Veetle\VLCBroadcast\npvbp.dll File not found
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0

:Files
I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

 

Na wszelki wypadek zrób jeszcze logi z FRST http://searchengines...a-postępowania/

 

.



#3 Veg4s

Veg4s

    First Rank

  • Użytkownicy
  • 12 postów

Napisano 31 10 2014 - 02:02

FRST http://wklej.org/id/1504644/

Addition http://wklej.org/id/1504645/

Shortcut http://wklej.org/id/1504646/



#4 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5774 postów
  • Płeć:Mężczyzna

Napisano 31 10 2014 - 08:34

Także w tych logach nie ma niczego podejrzanego.

Tak więc to nie jest problem "wirusowy".

 

Kosmetyka:

Otwórz Notatnik i wklej w nim:

GroupPolicyUsers\S-1-5-21-2940293867-578583823-1431221202-1005\User: Group Policy restriction detected <======= ATTENTION
Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} -  No File
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij przycisk Fix.

 

 

Zgłosiłem już Moderatorom, by pomyśleli o przesunięciu tego tematu do jakiegoś innego, bardziej odpowiedniego działu Forum.

.



#5 XanTyp

XanTyp

    Expert Rank

  • Admins
  • 3887 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Headquarter

Napisano 31 10 2014 - 10:29

Zajrzyj w msconfig i przejrzyj listę aplikacji oraz usług, które ruszają razem z systemem.


Nawet, jeśli nie będę mógł pomóc, to może coś podpowiem:

1. Najpierw sięgnij do źródła, potem dopiero dzwoń po hydraulika.

2. Precyzja odpowiedzi zależy przed wszystkim od precyzji zadanego pytania.
3. Nie czytam w myślach, ale mogę powróżyć na specjalne życzenie (:


#6 Veg4s

Veg4s

    First Rank

  • Użytkownicy
  • 12 postów

Napisano 31 10 2014 - 18:44

Logi w FRST udało się zrobić w normalnym trybie Windows (wcześniejsze logi z trybu awaryjnego), więc widać znaczną poprawe. Nie napisałem o tym wcześniej, ale jak podpiąłem dysk twardy do stacjonarki to Kaspersky wykrył i usunął trojana. Bede miał dostęp do tego kompa późnym wieczorem więc wkleje tu chociaż nazwe tego syfa.

 

EDIT:

2014-10-07 22:59:17 Plik I:\Users\All Users\InstallMate\{A013623F-D35D-4CFF-AE14-9B7F7BF040C9}\Custom.dll: wykryto Koń trojański 'Trojan.Win32.AntiFW.a'.
2014-10-07 23:04:37 Plik I:\Users\All Users\InstallMate\{A013623F-D35D-4CFF-AE14-9B7F7BF040C9}\Custom.dll: usunięto.
 
 





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych