CentrumXP Forum Tematyka portalu CentrumXP.pl Windows XP Problem z guardami i restartowaniem systemu.

Problem z guardami i restartowaniem systemu.

Witam ! Oczywiście wcześniej obadałem forum odnośnie mojego problemu ale nic pomocnego nie znalazłem, tak więc zadaję te pytania. Chodzi o to że gdy zainstaluje jakikolwiek antywirusy to wyłączają mi się po restarcie systemu w nich guardy. Wpierw zainstalowałem Avira Free Antivirus - zablokowało guarda, potem AVG Free - zablokowało także, MKS Online też z nowymi aktualizacjami skanowałem kompa, Ad-Aware także mi się wogóle nie włączało przy uruchomieniu windowsa a dokładnie Ad-Watch ( oczywiście wszystkimi programami po instalacji skanowałem wszystkie dyski ). Teraz zainstalowałem NOD32 i o dziwo nie wyłącza ochrony, natomiast problem się nasilił i teraz restartuje mi się komputer, najśmieszniejsze jest to w jaki sposób, przykładowo wyłączę komputer w nocy i odpalę rano to przy logowaniu się do systemu ( a czasami nawet przy czarnym ekranie dosa ) poprostu się restartuje ( tak około 3-5 razy ) a potem już się normalnie włącza oO. Tak jakby musiał się rozgrzać czy coś, bo gdy się niby "rozgrzeje" to już normalnie się cały czas uruchamia. Poniżej podaje log z HijackThis, jakby ktoś mógłby wytłumaczyć o co w tym wszystkim chodzi to byłbym bardzo wdzięczny. Dzięki i pozdrawiam ! LOG : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:02:40, on 2010-04-21 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Program Files\VIAudioi\SBADeck\ADeck.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\Program Files\Winamp\winamp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\PROGRAM FILES\STREAMRIPPER\wstreamripper.exe C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.1.27.dll O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [SMSystemAnalyzer] "C:\Program Files\iolo\System Mechanic Professional 7\SMSystemAnalyzer.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Pobierz za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.4.1.27.dll/206 (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe (file missing) O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe (file missing) O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe -- End of file - 5010 bytes

Odpowiedzi: 4

Hmm pewnego dnia ponownie zrestartował mi się komputer dwa razy, i za drugim razem wyłączył się i przestał działać. Spalił się zasilacz, i okazało się że kondensatory są wypukłe tak więc zostały wymienione i teraz jest już w porządku. Ad-Aware się uruchamia normalnie, a teraz odwrotnie - NOD się automatycznie nie uruchamia, rejestr czyściłem tak więc myślę że format mnie czeka. Temat myślę żeby zamknąć, i dzięki za wszelkie porady, pozdrawiam i dziękuję :)
Thunder
Dodano
30.04.2010 00:01:21
Hmm nie rozumiem o co Ci chodzi, skoro wiesz o co mi biega to po co zadajesz niepotrzebne pytania ? PS. " Za to zdecydowanie nie pochwalam propagowania nowomowy na forum nieco większym niż lokalne podwórko." Zawsze na tym forum Ludzie potrafili rozwiązać mój problem i nie sądzę że to jest jakieś lokalne podwórko - wręcz przeciwnie, ekipa ludzi którzy znają się na rzeczy, dlatego też zadaje im pytania w celu rozwiązania mojego problemu, tak więc nie pisz tego czego nie wypowiedziałem ... peace !
Thunder
Dodano
23.04.2010 03:28:29
  • Veers 23.04.2010 11:01:02

    [quote=Thunder]Hmm nie rozumiem o co Ci chodzi, skoro wiesz o co mi biega to po co zadajesz niepotrzebne pytania ?[/quote] Chodzi mu o to, by nie kaleczyć języka (ojczystego) a w tym przypadku to nawet i obcego. Niestety żyjemy w czasach gdy MySQL nie musi oznaczać bazy danych - tylko "moją szkołę" :rolleyes: Wracając zaś do tematu: chkdsk c: /f /r , odłącz kompa od sieci, odinstaluj NODa i korzystając z jego płyty instalatora (ratunkowej) przeskanuj komputer. Z logu wynika że moje podejrzenie było w miarę poprawne - tyle że nie trojan a jakiś rootkit działa. Biorąc pod uwagę wyniki skanowania - nie wróżę jakiegoś specjalnego powodzenia próbom "odrobaczania" - być może konieczne będzie postawienie systemu od nowa.

Przeczyściłem kompa RegCleaner'em, a potem odpaliłem GMER'a którego mi podałeś i oto log z niego : GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-04-22 13:43:53 Windows 5.1.2600 Dodatek Service Pack 3 Running: gmer.exe; Driver: C:\DOCUME~1\Thunder\USTAWI~1\Temp\afnyypog.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwAssignProcessToJobObject [0xEFB3F610] SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF858687E] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDebugActiveProcess [0xEFB3FC10] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDuplicateObject [0xEFB3F730] SSDT \??\C:\DOCUME~1\Thunder\USTAWI~1\Temp\XDG3D.tmp ZwOpenProcess [0xF8936F46] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwOpenThread [0xEFB3F570] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwProtectVirtualMemory [0xEFB3F6D0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetContextThread [0xEFB3F690] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetInformationThread [0xEFB3F650] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetSecurityObject [0xEFB3F7D0] SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF8586BFE] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendProcess [0xEFB3F510] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendThread [0xEFB3F590] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateProcess [0xEFB3F4D0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateThread [0xEFB3F5D0] SSDT \??\C:\DOCUME~1\Thunder\USTAWI~1\Temp\XDG3D.tmp ZwWriteVirtualMemory [0xF8936F1E] ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 01: copy of MBR Disk \Device\Harddisk0\DR0 sector 02: copy of MBR Disk \Device\Harddisk0\DR0 sector 03: copy of MBR Disk \Device\Harddisk0\DR0 sector 04: copy of MBR Disk \Device\Harddisk0\DR0 sector 05: copy of MBR Disk \Device\Harddisk0\DR0 sector 06: copy of MBR Disk \Device\Harddisk0\DR0 sector 07: copy of MBR Disk \Device\Harddisk0\DR0 sector 08: copy of MBR Disk \Device\Harddisk0\DR0 sector 09: copy of MBR Disk \Device\Harddisk0\DR0 sector 10: copy of MBR Disk \Device\Harddisk0\DR0 sector 11: copy of MBR Disk \Device\Harddisk0\DR0 sector 12: copy of MBR Disk \Device\Harddisk0\DR0 sector 13: copy of MBR Disk \Device\Harddisk0\DR0 sector 14: copy of MBR Disk \Device\Harddisk0\DR0 sector 15: copy of MBR Disk \Device\Harddisk0\DR0 sector 16: copy of MBR Disk \Device\Harddisk0\DR0 sector 17: copy of MBR Disk \Device\Harddisk0\DR0 sector 18: copy of MBR Disk \Device\Harddisk0\DR0 sector 19: copy of MBR Disk \Device\Harddisk0\DR0 sector 20: copy of MBR Disk \Device\Harddisk0\DR0 sector 21: copy of MBR Disk \Device\Harddisk0\DR0 sector 22: copy of MBR Disk \Device\Harddisk0\DR0 sector 23: copy of MBR Disk \Device\Harddisk0\DR0 sector 24: copy of MBR Disk \Device\Harddisk0\DR0 sector 25: copy of MBR Disk \Device\Harddisk0\DR0 sector 26: copy of MBR Disk \Device\Harddisk0\DR0 sector 27: copy of MBR Disk \Device\Harddisk0\DR0 sector 28: copy of MBR Disk \Device\Harddisk0\DR0 sector 29: copy of MBR Disk \Device\Harddisk0\DR0 sector 30: copy of MBR Disk \Device\Harddisk0\DR0 sector 31: copy of MBR Disk \Device\Harddisk0\DR0 sector 32: copy of MBR Disk \Device\Harddisk0\DR0 sector 33: copy of MBR Disk \Device\Harddisk0\DR0 sector 34: copy of MBR Disk \Device\Harddisk0\DR0 sector 35: copy of MBR Disk \Device\Harddisk0\DR0 sector 36: copy of MBR Disk \Device\Harddisk0\DR0 sector 37: copy of MBR Disk \Device\Harddisk0\DR0 sector 38: copy of MBR Disk \Device\Harddisk0\DR0 sector 39: copy of MBR Disk \Device\Harddisk0\DR0 sector 40: copy of MBR Disk \Device\Harddisk0\DR0 sector 41: copy of MBR Disk \Device\Harddisk0\DR0 sector 42: copy of MBR Disk \Device\Harddisk0\DR0 sector 43: copy of MBR Disk \Device\Harddisk0\DR0 sector 44: copy of MBR Disk \Device\Harddisk0\DR0 sector 45: copy of MBR Disk \Device\Harddisk0\DR0 sector 46: copy of MBR Disk \Device\Harddisk0\DR0 sector 47: copy of MBR Disk \Device\Harddisk0\DR0 sector 48: copy of MBR Disk \Device\Harddisk0\DR0 sector 49: copy of MBR Disk \Device\Harddisk0\DR0 sector 50: copy of MBR Disk \Device\Harddisk0\DR0 sector 51: copy of MBR Disk \Device\Harddisk0\DR0 sector 52: copy of MBR Disk \Device\Harddisk0\DR0 sector 53: copy of MBR Disk \Device\Harddisk0\DR0 sector 54: copy of MBR Disk \Device\Harddisk0\DR0 sector 55: copy of MBR Disk \Device\Harddisk0\DR0 sector 56: copy of MBR Disk \Device\Harddisk0\DR0 sector 57: copy of MBR Disk \Device\Harddisk0\DR0 sector 58: copy of MBR Disk \Device\Harddisk0\DR0 sector 59: copy of MBR Disk \Device\Harddisk0\DR0 sector 60: copy of MBR Disk \Device\Harddisk0\DR0 sector 61: copy of MBR Disk \Device\Harddisk0\DR0 sector 62: copy of MBR Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR ---- EOF - GMER 1.0.15 ---- PS. * guard o zapobiegać, zabezpieczać o strzec, pilnować, chronić, zabezpieczać o strażnik
Thunder
Dodano
22.04.2010 15:51:27
  • XanTyp 23.04.2010 01:35:06

    [quote=Thunder]PS. * guard[/quote]Ojca dzieci nie ucz robić, z angielskim radzę sobie przyzwoicie. Za to zdecydowanie nie pochwalam propagowania nowomowy na forum nieco większym niż lokalne podwórko.

[quote=Thunder]to wyłączają mi się po restarcie systemu w nich guardy (...) zablokowało guarda (...) zablokowało także[/quote]Co to jest guard/guarda?
XanTyp
Dodano
22.04.2010 00:40:03
  • Veers 22.04.2010 01:24:35

    [quote=XanTyp]Co to jest guard/guarda?[/quote] To taka nowa nazwa na proces programu antywirusowego monitorujący system w czasie rzeczywistym. :d/ Thunder - skan Hijacka to może być za mało jak na podejrzenie działania trojana w trybie stealth. Jednak ja bym zaczął od dokładnego wyczyszczenie pozostałości po WSZYSTKICH używanych antywirusach, odinstalowanie AD-Aware i ponowną instalacje Antywirusa - ale tym razem bez nadmiernych eksperymentów z tymi programami. Komputer nie musi się "rozgrzewać" - za to odtwarzanie rejestru / przywracanie punktu odtwarzania systemu (przy czym nie mam tu na myśli naprawy w pozytywnym sensie tego słowa) potrafi trwać i wymagać ponownego rozruchu. Tak więc logicznym wydaje się skontrolowanie stanu zdrowia dysku, a być może nawet i pamięci. Jeśli zaś chcesz wykluczyć działanie szkodliwego oprogramowania - to potrzebny byłby log z [url=http://forum.dobreprogramy.pl/gmer-opis-programu-t101848.html?sid=4a8dddcc8b1ec983c7a235b1719146ef]gmera[/url] lub [url=http://helpc.eu/otl-t2153.html]OTL[/url] Osobiście jednak uważam że masz rozwalony rejestr (za podstawę tego podejrzenie przyjmuję widoczne pozostałości po Sysstem Mechanic).

Thunder
Dodano:
21.04.2010 16:07:17
Komentarzy:
4
Strona 1 / 1