Opakované restartování počítačů

[JaRon]

nuz hmotne dary si radi s kolegom vychutname
zacni tym, ze pozries na BSOD >> http://www.norelt.estranky.cz/clanky/tr ... _xp_-.html

[Pavel180]

No tak jsem to zkusil na trech strojich nastavit a restart zkonci modrou smrti s hlaskou REGISTRY_ERROR.
Bude nejaky vypis pameti v dmp souboru? Mam ho nejak zkoumat?
PŘ

[Pavel180]

Super, jsem rad, ze je zde zas nekdo, kdo poradi, kdyz ja uz fakt prestavam tusit, co dal

Ten BSOD viwer stahnu na flash a pustim po restartu opet do nouzoveho rezimu na tom stroji, kde se projevuje ten pad do modre smrti?

Co se tyka ovladacu, netusim, proc to tam neni. Nevedel jsem, co vsechno tam ma byt. Nicmene stroj, na kterem jsem to stahnul je uz zformatovany a nove nainstalovany vcetne Symantec Endpoint Protection, ted se stahuji patche systemu.
Mam se pokusit "odlovit" ty dva adresare jeste na jinem stroji?

Jo jeste jsem si ted vsimnul,. ze tech dump souboru jsou tam mraky. Vypada to, ze jsou asi vsechny stejny, ale kterej z nich mam vybrat? A jak z nej vytvorit TXT soubor? Je to jenom o ulozeni konkretniho dumpu?

[Pavel180]

Tak sice nevim, jestli je to takhle spravne, ale tohle jsem ziskal tim BSOD viwerem:

==================================================
Dump File : Mini060412-33.dmp
Crash Time : 4.6.2012 16:10:20
Bug Check String : REGISTRY_ERROR
Bug Check Code : 0x00000051
Parameter 1 : 0x0000000d
Parameter 2 : 0x00000001
Parameter 3 : 0x00000000
Parameter 4 : 0x00000000
Caused By Driver : ntoskrnl.exe
Caused By Address : ntoskrnl.exe+606c2
File Description : NT Kernel & System
Product Name : Operační systém Microsoft® Windows®
Company : Microsoft Corporation
File Version : 5.1.2600.6206 (xpsp_sp3_gdr.120411-1615)
Processor : 32-bit
Crash Address : ntoskrnl.exe+606c2
Stack Address 1 : ntoskrnl.exe+13fef0
Stack Address 2 : ntoskrnl.exe+14326e
Stack Address 3 : ntoskrnl.exe+101a30
Computer Name :
Full Path : C:\WINDOWS\Minidump\Mini060412-33.dmp
Processors Count : 2
Major Version : 15
Minor Version : 2600
Dump File Size : 90 112
==================================================

[JaRon]

podla tohto to vypada na poskodenie jadra systemu http://support.microsoft.com/?kbid=815265
skus pouzit volbu rychle opravy - uvidime, ci je cesta MS schodna

[Pavel180]

Rychlou opravu zkusim, otazka je ale spis kde je pricina toho poskozeni. Myslim, ze uz jsem psal, ze jsem v prvnim stadiu, kdy bylo restarujicich se pocitaci asi 8, vsechny nefunkcni preinstaloval. Vydrzelo jim to tak 5 dni a spadly do stejneho problemu znovu.

Muze byt pricina tohoto problemu zpusobena necim, co ma uzivatel ulozene v profilu? Napr. dnes jsem byl svedkem toh, ze jedne zak (5. trida, asi bych ho z nejake nekale cinnosti nepodezrival) se prihlasil na pocitac, ktery pred jeho prihlasenim fungoval a ihned doslo k restaru. To zopakoval jeste na dlasicm se stejnym vysledkem. Stopnul jsem ho, obnovil mu profil v domene a kdyz se prihlasil na dalsi stroj, uz vse fungovalo a i po jeho odchodu pocitac dal funguje. Samozrejme muze se jednat o neco, co se siri po siti, ale po teto zkusenosti se nejspis odhodlam k mega akci - obnove vsech uzivatelskych uctu a smazani vsech profilu na vsech pocitacich. Sice to bude mazec akce, ale potrebuju nejak zastavit to sireni.
V soucasne chvili uz mi z 26 pocitacu funguje jenom 6. Spis nez obnovu asi planuju jejich reinstalaci (tu obnovu z vyzkumnych duvodu samozrejme vyzkousim), nicmene pokud se nezbavim priciny, pravdepodobne se to bue za par dni opakovat, tak jak se jiz stalo.

[stell]

Zaskok.

Muze byt pricina tohoto problemu zpusobena necim, co ma uzivatel ulozene v profilu?

Stopnul jsem ho, obnovil mu profil v domene a kdyz se prihlasil na dalsi stroj, uz vse fungovalo a i po jeho odchodu pocitac dal funguje.

Podla mna ano.Moze byt na pricine cerv, .Treba nalogovat do tohto profilu-uctu , nevadi ze si to obnovil a vloz sem log z Combofixu.
http://www.bleepingcomputer.com/combofi ... t-combofix

[Pavel180]

OK, Combofix log zkusim vytvorit pod danzm uzivatelem. Bohuzel takovych uzivatelu bude asi vice, mozna spousty.
Nicmene nevim, jak to udelat. Zalogovat se muzu pouze na pocitaci, ktery nevykazuje problem s restartovanim. Tam si nejsem jisty, jestli ten combofix ma smysl. Na druhou stranu pocitac, ktery se restartuje mi zalogovani pod jakymkoli uzivatelem nedovoli.
Tak co s tim?

[stell]

takto, pisal si ze v nudzovom rezime funguje, ak ano tak treba spustit combofix v nudzovom rezime, ak pri odstranovani haveti combofix restartne pc, znova treba ist do nudzaku a pockat log.

pocitac, ktery se restartuje mi zalogovani pod jakymkoli uzivatelem nedovoli.

A vies sa dostat do prikazoveho riadku DOS,??? tam je ako nudzovy rezim.

[Pavel180]

No to je prave ten problem. V nouzovem rezimu (ale nouzovem rezimu bez prace v siti) se to nerestartuje - az na jeden pocitac, ktery s tim zacal i tady . Jenze nouzovy rezim bez site mi neumozni se zalogovat jako domenovy uzivatel, ale pouze jako lokalni administrator. A v tom je prave ten zakopanej pes.
Mam teda Combofix pustit jako lokalni admin?

[stell]

Ano spust combofix ako Admin,

[Pavel180]

Zdravim, tak jsem se ComboFixu dostal az ted. A mam dalsi bezva prekvapeni. ComboFix taky spadne do modre smrti. Nekde kolem kroku vytvareni zalohy registru. Aspon tak jak to beru a postupuju podle navodu na strance. Co s tim? Zacinam si myslet, ze rychlejsi cesta bude komplet reinstalace pocitace, coz uz jsem na nekterych strojich z ucebny udelal. Mam je pripojene k internetu, i kdyz zatim ne zaintegrovane do domeny. Uz 2. den bezi a po nejakem napadeni ani vidu. Zjevne to vypada, ze nakaza je schovana v profilech uzivatelu.
Mam zkouset i ty dalsi programy, kdyz neprosel ten ComboFix?

Napadlo me, ze bych vas poprosil o shlednuti logu z ciste nainstalovanych pocitacu, jestli tam neco nebude, i kdyz to zatim vypada v pohode.

Nemyslite si, ze bude opravdu rychlejsi a jednodussi reinstalace pocitacu v ucebne? Bohuzel je tam porad riziko, ze se nakaza vrati, ale pokud bych se vydal touhle cestou, obnovil bych profily vsem uzivatelum a smazal vsechny profily lokalne ulozene na stanicich. Treba by to mohlo zafungovat. Neni to tak, ze bych si nevazil vasi snahy mi pomoci, ale prijde mi, ze zatim to moc nikam nevede. A o obnove stanic uz tady taky byla zminka, tak by mozna bylo jednodussi to udelat rovnou?

Diky za nápady, náměty, pomoc, prostě za cokoli, co pomůže ...
PŘ

PS: jo jeste byl dotaz, odkud jsme. Praha - Čakovice

[stell]

Nemyslite si, ze bude opravdu rychlejsi a jednodussi reinstalace pocitacu v ucebne? Bohuzel je tam porad riziko, ze se nakaza vrati, ale pokud bych se vydal touhle cestou, obnovil bych profily vsem uzivatelum a smazal vsechny profily lokalne ulozene na stanicich. Treba by to mohlo zafungovat

ja to vidim takto, pravdepodobne mas tam sietoveho cerva, preto infekcia urcite sa vrati, pretoze ak tam mas confickera, tak vsetky usb kluce co ziaci pouzivaju su tiez infikovane,a po pripojeni znova nainfikuju pocitace.
Teda mozu byt infikovane aj profily uzivatelov,
Najprv dobre by bolo zistit pricinu, infekcie a potom pouzit sposob co si napisal,
obnovil bych profily vsem uzivatelum a smazal vsechny profily lokalne ulozene na stanicich.

A potom zakazat USB zariadenia na vsetkych pocitacov a vypnut autorun/autoplay,

takze najprv na tomto infikovanom pocitaci, kde neide len Nudzak vygenerujes log z OTL a spravis aj logy co kolega NAUGHTY napisal a vsetky logy vloz sem.

Stáhněte OTL
http://oldtimer.geekstogo.com/OTL.exe
na plochu.
Spusťte, poté do spodního políčka vložte následující skript.
Označte položku Pro všechny uživatele.
Označte položky Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
Klikněte na tlačítko Prohledat
Po dokončení, sem vložte logy OTL.Txt a Extras.txt

Kód: Vybrat vše

netsvcs
drivers32
savembr:0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
%systemroot%\system32\drivers\*.sys /5
%systemroot%\system32\drivers\*.sys /X
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.* /5
%systemroot%\system32\*.dll /lockedfiles
%ALLUSERSPROFILE%\Dáta aplikácií\*.*
%ALLUSERSPROFILE%\Dáta aplikácií\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe

[Pavel180]

Zdravim,
no v tom je prave ten problem. Za infikovany pocitac povazuju ten, co se restartuje. A do zadneho z tech, co se restartuji se nemuzu prihlasit jinak nez v nouzovem rezimu, takze nemuzu vygenerovat logy v nenouzovem rezimu. Ma smysl je generovat v nouzovem? Zitra to kdyztak udelam.
Otazkou samozrejme je i to, proc se dlasi pocitace uspesne brani nakaze, respektive uz dlasi pocitace nespadly do opakovaneho restartu. Nejspis je to tim, ze se na pocitace v teto ucebne prestali hlasit uzivatele a nakaze se tak nemuze sirit. Vypada to, ze to nezvladne sama, bez prihlaseni uzivatele s nakazenym profilem, nebot mi z 27 stejnych pocitacu v ucebne zbylo 6, ktere stale bezi, ale k restartum nedochazi. Otazka jestli a cim jsou pripadne napadeny (tech 6) vsak zustava. Napr pri pokusu o vyhledani nekterych stranek napr. Symantecu se v prohlizeci objevi jakysi vyhledavac Babylon, coz vubec nevim, co ma byt.Takze nejspis necim bude infikovano i tech 6 poslednich mohykanu

Ja samozrejme chapu, ze by bylo idealni zjistit, oc presne jde a zpusob sireni, ale vzhledem k tomu, jak se to zatim vyvyji se obavam, ze budem hledat dlouho a stejne mozna nic nenajdem. Obzvlast kdyz zatim vlastne vsechny pokusy koncily oblibenou modrou smrti, viz. naposledy ComboFix. Proto ten napad s obnovou vsech profilu a smazanim lokalnich profilu. Samozrejme zakazani USB a autorunu je dobry napad, mrknu na to, jak to udelat. Stejne tak natvrdo zakazuji jakykoli jiny bootovani, nez z HDD. Je ale otazka, jestli to pomuze a zda se po reinstalaci pocitacu i pres tato opatreni ta potvora nevrati. Uz jsem asi smirenej s tim, ze se bude reinstalovat uplne vsechno, mam jen obavu, aby to nebyla zbytecna prace

Samozrejme pokud budete myslet, ze mam presto udelat ty logy z nouzoveho rezimu, jdu do toho.

Jen mi zkuste nekdo vysvetlit, jak je mozny, ze existuje havet, na kterou je kratka cela ta rada antiviru, ktery uz jsem vyzkousel.

Dekuju PŘ

[stell]

takze nemuzu vygenerovat logy v nenouzovem rezimu. Ma smysl je generovat v nouzovem?

Ano ma zmysel, takze treba logy vygenerovat.

Otazkou samozrejme je i to, proc se dlasi pocitace uspesne brani nakaze, respektive uz dlasi pocitace nespadly do opakovaneho restartu. Nejspis je to tim, ze se na pocitace v teto ucebne prestali hlasit uzivatele a nakaze se tak nemuze sirit.

Ano aj ja to tak vidim.

vyhledavac Babylon

Je to Toolbar a treba to odinstalovat, Babylon toolbar sa nainstaluje nenapadne pri instalacii nejakeho softu.

Obzvlast kdyz zatim vlastne vsechny pokusy koncily oblibenou modrou smrti,

OTL.exe by malo zafungovat.

Je ale otazka, jestli to pomuze a zda se po reinstalaci pocitacu i pres tato opatreni ta potvora nevrati.

Prave preto potrebujeme logy, aby sme vedeli ze proti comu, komu bojujeme,preto ze o tyzden dva, moze sa vsetko opakovat.

Jen mi zkuste nekdo vysvetlit, jak je mozny, ze existuje havet, na kterou je kratka cela ta rada antiviru, ktery uz jsem vyzkousel.

Je to mozny, preto ze siritelia infekcie su stale o 2,3 kroky su pred AV-spolocnostami, uz davno je prec doba ze na infikovanom pocitaci stacilo nieco spustit a hotovo, v dnesnej dobe treba specialne programy a postupy.

Samozrejme zakazani USB a autorunu je dobry napad, mrknu na to, jak to udelat.

USB Mozes cez register:
Priklad

Kód: Vybrat vše

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

Vypnut Autorun/Autoplay, mozes cez Group policy, alebo cez register:

Kód: Vybrat vše

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Takze skus sem dat tie logy,