Nelze se přihlásit - RSIT

[motji]

Prosím Tě důležité věci si zazálohuj, kdyby náhodou systém spadl.
Máš nějaký soubor ve složce minidump (složka windows)?
Ještě se poradím s kolegou, ale těch důvodů může být několik.
Nejdřív zkusíme vyměnit winlogon, za chvilku Ti napíšu skript.

[alesholoska]

Ve složce minidump mám 49 souborů s příponou .dmp o celkové velikosti 4,76 MB

[motji]

Ještě prosím Tě spusť systemlook s tímto skriptem

:filefind
Winlogon.exe

Máš inst. cd se sp2?

Fajn, můžeš je dát do zipu a uploadnout na leteckou poštu? Aspon pár za poslední dny, kdy Ti to házelo BSOD.
Link mi vlož zde.

[alesholoska]

Instalační CD s SP2 mám, ale na počítači mi nefunguje CD-ROMka

[alesholoska]

Složka Minidump

http://leteckaposta.cz/909321288

Systemlook

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 22:03 on 05/03/2010 by Administrator (Administrator - Elevation successful)

========== filefind ==========

Searching for "Winlogon.exe"
C:\WINDOWS\ERDNT\cache\winlogon.exe --a--- 502272 bytes [15:24 24/02/2010] [19:00 10/08/2004] 01C3346C241652F43AED8E2149881BFE
C:\WINDOWS\SoftwareDistribution\Download\e9500597a78495f397efb821e37bf356\winlogon.exe --a--- 507904 bytes [08:12 10/04/2009] [01:12 14/04/2008] ED0EF0A136DEC83DF69F04118870003E
C:\WINDOWS\system32\dllcache\winlogon.exe --a--- 502272 bytes [21:00 10/08/2004] [21:00 10/08/2004] 01C3346C241652F43AED8E2149881BFE
C:\WINDOWS\system32\winlogon.exe ------ 502272 bytes [19:00 10/08/2004] [19:00 10/08/2004] 01C3346C241652F43AED8E2149881BFE

-=End Of File=-

[motji]

No tak to máme smůlu, chtěla jsem ještě něco zkusit, ale tu cdromku bys potřeboval.
Prosím Tě udělej ten systemlook a hod mi soubory z minidumpu .

[alesholoska]

Máš to o odpověď výš

[motji]

No, soubory vypadají v pořádku, já bych počkala na výsledky těch minidumpů, poprosila jsem kolegu, a't se na ně podívá

[MiliNess]

Mrknu na to a dám vám vědět.

[motji]

Takže kolega MiliNess na to koukal a udělej tohle

1. start-spustit - napište chkdsk /f/r
-[enter]
souhlas - restartuje se pc a nechá se disk zkontrolovat

2.
odinstalujte všechny virtuální jednotky (Daemon nebo alcohol)

Stáhněte SPTD http://www.duplexsecure.com/en/downloads
-vyberte verzi podle svého operačního systému. SPTD for Windows (32 bit) nebo (64b)
-uložte na plochu a spusťte
- zvolte možnost Uninstall
- restart PC

start-spustit
do okénka zkopírujte

Kód: Vybrat vše

"%userprofile%\plocha\mbr" -t

ok

vytvoří se log s názvem mbr.log, vložte ho zde [/quote]
(pokud Ti napíše, že není platné umístění, zkus zadat příkaz
"%userprofile%\desktop\mbr" -t )

3. Odinstaluj Aviru


4. Zkus nabootovat do normálního režimu.

Pokud se Ti to podaří, zkus Aviru zase nainstalovat. Pak restartuj počítač a vyzkoušej, zda normální režim funguje.

Pokud by Ti i pak nefungoval normální režim a byla BSOD, pošli mi zase minidump

Já tu budu večer, pak napiš,jak to s počítačem vypadá

[alesholoska]

Takže kolega MiliNess na to koukal a udělej tohle

1. start-spustit - napište chkdsk /f/r
-[enter]
souhlas - restartuje se pc a nechá se disk zkontrolovat OK

2.
odinstalujte všechny virtuální jednotky (Daemon nebo alcohol) OK

Stáhněte SPTD http://www.duplexsecure.com/en/downloads
-vyberte verzi podle svého operačního systému. SPTD for Windows (32 bit) nebo (64b)
-uložte na plochu a spusťte
- zvolte možnost Uninstall
- restart PC KO - Pouze volba Install

start-spustit
do okénka zkopírujte

Kód: Vybrat vše

"%userprofile%\plocha\mbr" -t

ok OK

vytvoří se log s názvem mbr.log, vložte ho zde
(pokud Ti napíše, že není platné umístění, zkus zadat příkaz
"%userprofile%\desktop\mbr" -t ) OK

3. Odinstaluj Aviru
OK

4. Zkus nabootovat do normálního režimu.
KO
Pokud se Ti to podaří, zkus Aviru zase nainstalovat. Pak restartuj počítač a vyzkoušej, zda normální režim funguje.

Pokud by Ti i pak nefungoval normální režim a byla BSOD, pošli mi zase minidump

Já tu budu večer, pak napiš,jak to s počítačem vypadá

MBR

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Minidump

Z dnešního dne žádný soubor nepřibil, jsou tam pouze včerejší a ty jsemi ti poslal

[motji]

Ten MBR.exe spust prosím s parametrem T z příkazového řádku, jak je v návodu .

Stále to samé - když se dostaneš do profilu, za chvilku se pc restartuje?

Otestuj na www.virustotal.com
C:\WINDOWS\system32\csrss.exe

[alesholoska]

JJ, stálo to samé

Virustotal

http://www.virustotal.com/cs/analisis/4 ... 1267893437

MBR jsem spouštěl přesně jak jsi napsala

Kód: Vybrat vše

"%userprofile%\plocha\mbr" -t

[motji]

Musel jsi ho spustit jinak, protože by jsi měl podobný log

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys
kernel: MBR read successfully
user & kernel MBR OK

[alesholoska]

Jsem stáhnul novou verzi MBR, ale pořád tam nemám ten řádek co chceš, ale změnil se řádek kernel

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR