BSOD, trojan, pętla restartów


(kurzel131) #1

Co prawda problem już ustąpił po formacie ale może będę wiedział na przyszłość co i jak. Sytuacja miała miejsce jakieś 4 dni temu, ojciec siedział na PC ściągnął jakiś soft i od tego momentu zaczęły się dziać jaja nie z tej ziemi. Generalnie wcześniej miałem błąd procesu svchost.exe spod 0x7d4caa9b od adresem 0x00000010 i że pamięć nie może być odczytana. Nie wiedziałem jednak wtedy, że jest opcja śledzenia procesów tzn skąd one pochodzą i co je uruchamia. Soft nazywał się toolwiztools i jak to bywa z trojanami ,już w chwili uruchomienia założył hasła na oba konta admina i usera oraz nałożył ograniczenia (nie dało się nic uruchomić ponieważ pisało że nie mam na to uprawnień, to samo właśnie na koncie moim i admina). Podczas bootowania weszłem w kolejne tryby i wszędzie było to samo (wpisz hasło) z wyjątkiem ostatnich działających ustawień. Ale to właśnie tam było przy każdym uruchamianej ikonie że nie mam na to uprawnień. Nie mogłem wejść w dodaj/usuń, odpalić żadnej ikony z paska szybkiego uruchamiania, ani usunąć tego syfu. Nim zacząłem grzebać w uprawnieniach do plików była taka sytuacja: ja miałem pretensje do niego o to ,że się nic nie da usunąć przez ten program on mnie wygonił i chciał spróbować na własną rękę,tak chwile posiedział w necie i komputer wpadł w pętle restartów. Przy czym to wyglądało tak ,że uruchamiając się przechodziło tylko do okna z trybem awaryjnym, awaryjny z obsługą sieci itd (nie było okna z kontami to okno, na wszystkich poza ostatnimi działającymi ustawieniami co przeszło do konsoli następował restart, ostatnie działające ustawienia były nie lepsze - bootowanie -> konsola -> logo systemu xp z ładowaniem -> BSOD na 0,5 sek z nieznanym kodem, (nie zdołałem nawet aparatem wychwycić) i restart. Sytuacja była beznadziejna bo były święta, hajsu nie było na napęd (a mi akurat padł jakiś czas temu) a jeszcze wtyczka z kabla nie chciała pasować do płyty głównej z dowolnego innego nowego napędu i koleś w komputerowym już kiedyś stwierdził że trzeba stary napęd kupić. No to tak była opcja na po świętach nowy napęd + płyta or nowa skrzynka za jakieś 300 zł bo podkreślam ,że mam 11 letnią komodore. No chyba przyznacie ,że w chwili gdy mam wydać 60 za napęd plus ew 200 za płytę to lepiej kupić skrzynkę. Z pomocą poszedłem do kumpla, on dał za friko stary napęd transplantacja się udała i format poszedł straty były tylko w historii i kartach szybkiego wyboru w operze bo backup robiłem jakiś czas temu, chociaż i litery w dyskach się pozmieniały lub zawartości dysków się pozmieniały ale zamieniłem je za pomocą softu. Teraz tak poza tymi syzyfowymi próbami, próbowałem użyć opcji utworzenia i przywrócenia obrazu dysku z dyskietki jednak obraz wymagał utworzenia przed awarią. Pisałem w tej kwestii do ludzi z orange do których miałem nr no ale pech chciał ,że większość użytkowników to kobiety które nawet nie potrafiły ogarnąć prostej rzeczy typu wejdź na 4rum i poszukaj listów kodów BDSM i wyślij tę odpowiedzialną za pętle restartów jak jest.

Miałem w sumie tak najnowsza wersje comodo internet security premium, zaporę systemową włączoną w tryb monitora, jednak czy ojcu przypadkiem to nie “przeszkadzało” i nie wyłączył tego nie wiem. Jednak tuż po zagnieżdżeniu się sukinsyna i założeniu haseł+ograniczeń nic nie chodziło w trayu to wiem na pewno.

Teraz tak ostatnie skany dałem do działu bezpieczeństwo ,gdzie się nie doczekałem odpowiedzi, w sumie zrobiłem tak: otl+skryptowanie, CCE z opcją fullscan, scan mbr i high, defragmentacja całego hdd, skan hd tune, skan hmm chyba za av miałem wtedy noda jeszcze też full scan. Bazy i wszystko inne było aktualne, nawet miałem wgrane najnowsze aktualizacje do sp3. Już nie czepiam się ciężkiego chodzenia bo system miał 2 lata 18 dni. A mimo wszystko Windows jest cięższy od linuxa (a przynajmniej tam mnie w szkole uczyli). No i był zrobiony kiedyś punkt przywracania i backup rejestru. Aha wgrałem taki soft co odczytuje BSOD ale nie przejrzałem z powodu formatu co było nie tak.

Pytanie czy poza tym z dyskietki była by jakaś metoda skutecznie przywracająca system, czy przywrócenie rejestru, przywrócenie systemu, zmiana uprawnień itd uratowała by tego starego rzęcha bym nie musiał formatować?? Ofkors pytam głownie o sytuacje gdy mogłem normalnie działać w trybie ostatnich działających ustawień. Bo w przypadku pętli tylko rollback obrazu dysku.

btw zapytam już tutaj co powoduje że czasem mi zanika głos (pisze ze nie znalazło urz mixujących, restart pomaga ale co jest powodem).

to samo jak mam głos ino w jednej słuchawce.


(Robertw1989) #2

Jak chodzi o uprawnienia , to może pomogłoby usunięcie pliku registry.pol z folderu windows/system32/grouppolicy (przed pojawieniem się bsodów), aby jednak to zrobić musimy mieć wgląd do ukrytych plików systemowych , można tą opcję zaznaczyć w opcjach folderów w ekploratorze windows, zakładając że możemy go otworzyć i po usunięciu wylogować się i zalogować ponownie. Niestety nie daje to pewności że po przelogowaniu wirus na nowo tego plik nie utworzy.

Jeśli już znieślibyśmy ograniczenia to wtedy moglibyśmy zacząć zabawę.

Na samym początku można też spróbować opcji przywracania systemu , jeśli mieliśmy ją włączoną.

Jeśliby nie dało rady to podejrzałbym co startuję razem z systemem za pomocą windowsowego narzędzia msconfig i jeśli byłby podejrzany proces to bym usunął oraz przejrzał procesy uruchomione w tle.

Następnie na szybko zainstalowałbym jakiegoś porządniejszego antywirusa typu Kaspersky oraz zrobił skanowanie , o ile wirus by na to pozwolił.

Hasło z konta administratora czy użytkownika można usunąć na kilka sposobów. Jeśli mielibyśmy uprawnienia to już kwestia tego który sposób zadziała.


(kurzel131) #3

No to co comodo jest zły?? ja właśnie szukam czegoś lekkiego jak avast i skutecznego jak chocby kaspersky i nie jakiegoś przerważliwionego co mu się nie spodoba skrypt odpowiedzialny za antycheat w grze.

problem z nowym softem jest taki że mocno żre pamięć przykładowo jak teraz patrze w wydajności i siedząc se na zwykłych forach, 256 ram idzie od tak bez niczego a reszta ze 128k w okolicy 40-70k to jest virtualna. Raz próbowałem z jakimś nowym softem i takiej dostał komp że trza było formata robić.

Aha odnośnie pkt przywracania ile razy się nie bawiłem tak nie była możliwa żadna próba przywracania systemu. Jak to działa raz na miesiąc zrobić bo jak za 2 miechy przywrócimy to się nie odczyta nasz pkt??.


(krzysiekx) #4

Comodo jest dobry, a false positive (fałszywe wykrycia) w każdej firmie się zdarzają. Co do Kasperskiego powiem, że w rankingach już dawno nie królują, ale ich oprogramowanie dalej obciąża komputer i to bardzo.

Co do backupu danych i ich przywracania - warto zainteresować się jakimiś zewnętrznymi aplikacjami np. Keriever 1-click restore czy oprogramowanie firmy Acronis. A punkty przywracania systemu same się tworzą co jakiś czas a czasami różne aplikacje przed instalacjami/jakimiś procesami same je tworzą. Jednak lepiej jest mieć coś zewnętrznej firmy i samemu robić backup kiedy jest na to zapotrzebowanie.


(Robertw1989) #5

Kasperky jest dobry jak już komputer jest zainfekowany , bo potrafi całkiem dobrze pozbyć się zagrożenia i cofnąć zmiany spowodowane wirusem.

Sam używam Microsoft Essential ale jednak w kryzysowych sytuacjach w których komputer już jest mocno zainfekowany to zawsze kłaniałem się w strone Kasperskiego lub Nortona ale to możliwe że już z przyzwyczajenia.

Jak chodzi o Comodo to nie wiem jak on radzi sobie w takich sytuacjach , pewnie też nie najgorzej ale skoro wirus się przedostał i Comodo go nie wykrył to najlepiej spróbować ściągnąć innego.

Przywracanie powinno być dostępne jeśli jest włączone , ale to że nie zawsze pomaga to już swoją drogą.


(kurzel131) #6

No z tym av comodo było tak że miałem w sumie problemy z wejściem na serwer gry mmo, jak się okazało albo mu nie pasił plik odpowiedzialny za nieczitowanie albo jeszcze co innego, choć nadal nie mogę wejść pomimo usunięcia to tu już jestem zdania że wina leży w niekompetencji administracji. W sumie zbyt czułość to raz a dwa obciążanie procesem cmdagent.exe ludzie ok ale wyłączenie tego av z autostartu nawet go nie usnęło a jak przez 6h mam przeczytać 2 posty w necie i pobudować w grze to sorry. Tak miałem po formacie i na koncie admina tego problemu nie było ale nawet nie bawiłem się w wyłączanie tego bo strony się ładowały minutami to przeszedłem na noda. Z comodo zostawiłem se tylko skaner bo jest dobry chociaż 12,5h leci na tym.

Moja konfiguracja

Microsoft Windows XP Professional 5.1.2600 (WinXP RTM)

256 MB PC2100 DDR SDRAM (2.5-3-3-7 @ 133 MHz)

NVIDIA GeForce2 MX/MX 400 (64 MB)

ST340810A (40 GB, 5400 RPM, Ultra-ATA/100) i WDC WD1600BB-00GUC0 (149 GB, IDE)

Backup sam robię to na inny dysk +chomik+płyta i w sumie zawsze mogę hasłować