Jeszcze raz od nowa i przjrzyście + logi z OTL

[obywatel_korowiow]

Windows XP Home + SP3
Odnośnie sprzętu podam w razie potrzeby.
Problem: usługa RPC w XP wyłącza mi komputer. Po zalogowaniu do systemu ukazuje się okno: System Windows musi byc uruchominy ponownie.....Zdalne wywołanie procedur RPC została nieoczekiwanie przerwana.
Proces blokuję komendą: shudtown -a (mimo tego od czasu do czasu okno wyskakuje)

Kolejne objawy:
Brak możliwości
przywrócenia systemu
korzystania z sieci
uruchomienia antywirusa (avast)
Próba wejścia we właściwości w pliku "Zdalne wywoływanie procedur (RPC)" - START->PANEL STEROWANIA->NARZEDZIA ADMINISTRACYJNE->USLUGI
konczy się fiaskiem. Natychmiast wyskakuje okno j.w. (Usługa RPC...) i trzeba uruchomić shudtown -a po czym ukazuje się okno "Nie można uruchomić usługi... Błąd 1067 Proces zakonczył się nieoczekiwanie"
Przeskanowałem (z przenośnego USB) programem W32-Blaster-Worm-Removal-Tool i skan niczego nie wykazał.

Logi z OTL: wklej.org/id/492044/


Na tym moje pomysły się kończą. Już bym 10 razy przeinstalował Windowsa, ale nie o to tu chodzi. Wola walki się we mnie obudziła ;).

[Gość: Kolobos]

Co chwile cos psujesz, mamy teraz zgadywac co dokladnie zrobiles? Uzyj przywracania systemu o ile masz jakies punkty.

Odinstaluj wszystkie Toolbary, zrob skan przy pomocy mbam oraz cureit.

[obywatel_korowiow]

Już wiem gdzie był wirus, choć nie wiem jaki. Program do deinstalacji revosetup.exe zawiera (prawdopodobnie) jakąś mutację W32.Blaster. Z poziomu Windows nie potrafiłem w żaden sposób sobie poradzić.

Kolobos napisał(a):

> Co chwile cos psujesz, mamy teraz zgadywac co dokladnie zrobiles? Uzyj przywrac
> ania systemu o ile masz jakies punkty.

Punkty ustawiam zawsze, przed instalacją programu pochodzącego z niepewnego źródła. Ten wirus jednak tak namieszał, że nie da się uruchomićfunkcji przywracania ani żadnego innego narzędzia.
Piszesz, że co chwilę coś psuję. Nie tak co chwilę choć oststni popsułem kilka rzeczy. Z reguły zwracam się o pomoc w sytuacjach niekoniecznie związanych z popsuciem. Z drugiej strony, na większości forów czytam: "Najlepszą szkołą jest doświadczenie, musisz uczyć się na własnych błędach". Każdy kto się uczy popełnia błędy. Ślęczę godzinami w googlachi jak juz jestm bezradny proszę o pomoc. Pewnie niejedno jeszcze zepsuje ;). Swoją drogą dzięki za próby pomocy. Wiem, ze tak na odległość, bez dokładnej wiedzy trudno cokolwiek zdiagnozować. Znalazłem w necie coś takiego blog.iobit.com/revosetup-exe_105326.html i choć nie znam angielskiego, wydaje mi się że tu można coś znaleźć.
System jest po reinstalce i hula.

Przeinstalowałem system

[obywatel_korowiow]

i nacieszyłem się nim 1 dzień. Szczegóły na: forum.gazeta.pl/forum/w,430,123288652,123288652,Czy_to_wirus_.html

Niestety mogę liczyć tylko na siebie i ew. pomoc w sieci. Jestem za granicą i nie znam tu nikogo kto mógłby mi pomóc bezpośrednio. Z góry dziękuje za wszelkie próby.

[Gość: slawek_62]

Zrób porządek z komputerem. Pobierz i wypal płytę Hiren’s boot CD. Ustaw CD jako pierwsze urz. bootujące.
Wystartuj z płyty > Dos Boot CD > Testing Tools > Memtest86+
Testować pamięć do pierwszego błędu, lub kilka godzin. Jeden błąd dyskwalifikuje pamięć.
Gdy pamięć sprawna restart i wybrać:
Hard disk Tools > wybierasz program Vivard i opcję:
Erasing sectors
Usuniesz wszystkie dane z całego dysku, a więc i ewentualne wirusy z boot sektora.
Warto przedtem zrobić kopię tego co przydatne z dysku.
Ponownie Vivard:
Surface test with remap
Partycje i podział dysku możesz wykonać z poziomu instalatora systemu lub np. Gparted z płyty Hiren. Dysk należy sformatować, oraz partycję systemową uczynić aktywna.
Podać na forum SMART dysku.
Gdy jesteś pewny poprawnego działania sprzętu możesz instalować system. Warto najpierw sprawdzić wszystkie płyty z oprogramowaniem (również system) dobrym antywirem na innym komputerze. Przed instalacją zapewnić wszystkie niezbędne sterowniki dla sprzętu.
Jeśli nabędziesz Acronis True Image możesz w prosty sposób wykonać kopię zapasową czystego systemu, lub tego co uznasz za prawidłowo działający system. Odzyskanie takowej zajmuje od kilku do kilkunastu minut. Kopię możesz zrobić na inną partycję, inny dysk, DVD itp. Teraz możesz instalować co dusza zapragnie zawsze możesz wrócić do działającej wersji systemu, na dodatek bez wirusów.

[obywatel_korowiow]

Dobrze, że mam płytkę ratunkową K.Ś. przynajmniej będzie można wypalić. Dam znać jak poszło. Dzięki.

[obywatel_korowiow]

Memtest86+ mam na płycie ratunkowej, właśnie skanuję. Poneważ nie mogę się dostać do Hiren,s boot, a co za tym idzie do Vivard, czy wystarczy gdy sformatuję dysk pod Linuxem? Na dysku systemowym nie mam żadnych ważnych danych. D: gdzie ważne dane mam nie będę ruszał a dla pewności można wypiąć.

Antywirus

[obywatel_korowiow]

z płyty ratunkowej (pod Linuxem) wykrył w boot sektorze dysku hda1 trojana pt. : Trojan.GenericFF-1.

[Gość: slawek_62]

Nie wiem czym testujesz i jak aktualna jest baza wirusów, oraz czy wirus zostanie usunięty.
Istnieją bootowalne płyty z antywirusami np. Kaspersky
support.kaspersky.com/viruses/rescuedisk?level=2
posiadające możliwość aktualizacji bazy wirusów, oraz dużą skuteczność. Podobne produkty oferują inne firmy np. DrWeb, AVG itp
www.hirensbootcd.org/download/
vivard z obrazkami:
www.youtube.com/watch?v=y_adRVRIU5U
Formatowanie niczego z dysku nie usunie. Dysk trzeba wyzerować(erasing w Vivard) i jest do tego masa programów: MHDD, HDAT2, DMDE wystarczy zapytać google, zaproponowałem Vivard gdyż obsługuje dyski ATA i SATA. Viward zeruje cały dysk i podział na partycje jest mu obojętny. Po wyzerowaniu żadnych danych z dysku nie odzyskasz. Miałeś odczytać i podać SMART dysku, możliwe iż dyskiem zajmować się nie warto. Na płycie ratunkowej powinien być program do odczytu SMART(smartmontools ??).

[obywatel_korowiow]

Wszystko zrobię zgodnie z instrukcją i dam znać jak poszło. Spróbuję też smartem ale nie wiem czy dzis zdążę. Wygląda na to, że w sobotę będę miał więcej czasu więc wezmę gada pod lupę. Dzięki.

[obywatel_korowiow]

Skanowałem dysk programem ClamAV z płyty ratunkowej. Antywir nie usunął problemu ale chociaż wiadomo co w kompie siedzi.
Smart na Cd jest. Podaję wyniki zrobione w trybie Short Self-test: wklej.org/id/495505/
Teraz spadam do pracy a popołudniem zajmę się resztą.

[Gość: slawek_62]

Dysk jest sprawny, choć jeśli ilość błędów CRC będzie wzrastać(przy kolejnych odczytach) należy wymienić taśmę sterującą. Warto wykonać scan powierzchni dysku np. MHDD(z Hiren - dysk należy ustawić jako IDE w Biosie) lub pod systemem Victoria 4.46. Przy dużej ilości wolnych sektorów warto dysk wyzerować. Ogólnie, jeśli testy RAM wypadły pomyślnie, zasilacz nie figuruje w „Czarna lista zasilaczy” to problemy stwarza nie sprzęt a instalator.

[obywatel_korowiow]

No to mam zagwozdkę. Wyzerowałem dysk (80 GB), podzieliłem na partycję C: 50z hakiem
i D: reszta. Zainstalowałem Windowsa (home oryginał), nie wgrwałem, żadnych sterowników tylko po zainstalowaniu Systemu odpałem kompa z CD ratunkowego i sprawdzam pod Linuksem Folder Windows programem ClamAV. Wychodzi coś takiego:

[obywatel_korowiow]

wklej.org/id/496829/

[Gość: slawek_62]

Podepnij dysk do innego komputera i sprawdź te pliki na stronie:
virusscan.jotti.org/pl
Jeśli i tam okażą się zawirusowane to masz płytę z windowsem legalną inaczej.
Raczej jednak ClamAV widzi błędy tam, gdzie ich nie ma.
Lub pobierz i wypal Kaspersky Rescue Disk
support.kaspersky.com/viruses/rescuedisk

[obywatel_korowiow]

Czy koniecznie trzeba przepinać dysk? Na drugim kompie mam dwa dsyki C: z Windowsem i D: z Kubuntu. Są fajnie skonfigurowane i boję się, że po przekładkach GRUB się nie połapie. Żeby podpiąć dysk muszę jeden z tych dwóch wypiąć, Już kiedyś tak miałem, że po przekładkach nie mogłem odpalić ani Windowsa ani Linuxa. Płytkę wypalę zaraz i zobaczymy co w trawie piszczy.

[obywatel_korowiow]

Wysłałem pliki (bez przepinania dysku) na podaną stronę i nic nie zostało znalezione. Komputer (jak narazie) działa bez zarzutu. Żadnych "zwiech", podejrzanych procesów w menadżerze zadań. Oby tak dalej. Sławek_62, jestem Ci winny browara ;). Dzięki.