PC v síti - problém s načítáním Windows

[vyosek]

Nasledujici soubory otestujte na VirusTotalu (viz muj podpis)

• c:\windows\twain_32\C6U14K\WATCH.exe
• Kliknete na Prochazet
• Soubor nehledejte, jen vlozte cestu souboru, ktery chci otestovat
• Pokud napise Soubor byl jiz testovan, dejte otestovat znovu
• Kliknete na Otestovat soubor
• Vysledek analyzy sem vlozte (jako odkaz)

Z logu je patrno, ze nepouzivate firewall - doporucuji doinstalovat

• k cemu je dobry http://www.viry.cz/forum/viewtopic.php?f=41&t=20980
• prehled osobnich firewallu http://www.viry.cz/forum/viewtopic.php?f=41&t=6523

Odinstalujte vsechny emulatory virtualnich jednotek (Deamon Tools, Alcohol 120%, PowerISO apod)

Stahnete SPTD http://www.duplexsecure.com/en/downloads

• Vyberte z uvedene stranky verzi dle sveho operacniho systemu (32(x86)bit ci 64(x64)bit)
• Ulozte na plochu a spustte
• Zvolte moznost Uninstall a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte

Stahnete Defogger http://www.jpshortstuff.247fixes.com/Defogger.exe

• Ulozte na plochu a spustte
• Kliknete na Disable a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte

Stahnete MBR na plochu http://www2.gmer.net/mbr/mbr.exe

Kliknete na Start a pote Spustit, pripadne pouzijte klavesou zkratku Win+R

• Vyskoci na Vas okenko, do ktereho zkopirujte text nize

• Kód: Vybrat vše

  "%userprofile%\plocha\mbr" -t

• Kliknete na OK
• Na plose se Vam vytvori log s nazvem mbr.txt, jeho obsah mi sem vlozte

Dejte logy z Gmeru - viz muj podpis

[MaLy]

1) http://www.virustotal.com/cs/analisis/5 ... 1276776932

Nic nenalezeno

2) Vím o tom, řeší se...

3) -

4) SPTD - krok přeskočen

5) Deffoger - OK

6) MBR

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK

7) Gmer

LOG 1:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-06-17 14:34:57
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\kluchor\LOCALS~1\Temp\uwloapow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

---- EOF - GMER 1.0.15 ----

LOG 2:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-17 15:21:08
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\kluchor\LOCALS~1\Temp\uwloapow.sys


---- System - GMER 1.0.15 ----

SSDT 888E1580 ZwAssignProcessToJobObject
SSDT 888E2100 ZwDebugActiveProcess
SSDT 888E1B30 ZwDuplicateObject
SSDT 888E0CC0 ZwOpenProcess
SSDT 888E0FC0 ZwOpenThread
SSDT 888E19C0 ZwProtectVirtualMemory
SSDT 888E1860 ZwSetContextThread
SSDT 888E16E0 ZwSetInformationThread
SSDT 888DE700 ZwSetSecurityObject
SSDT 888E1420 ZwSuspendProcess
SSDT 888E12C0 ZwSuspendThread
SSDT 888E0E50 ZwTerminateProcess
SSDT 888E1150 ZwTerminateThread
SSDT 888E1F50 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB904A380, 0x2F2537, 0xE8000020]
? C:\DOCUME~1\kluchor\LOCALS~1\Temp\mbr.sys Systém nemůže nalézt uvedený soubor. !

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1336] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]
.text C:\WINDOWS\system32\SearchIndexer.exe[2004] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3132] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 32605164 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3132] ole32.dll!OleLoadFromStream 77519C85 5 Bytes JMP 330B9D32 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[3724] ntdll.dll!LdrLoadDll 7C9163C3 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

---- EOF - GMER 1.0.15 ----

Pokračování asi zítra....

[vyosek]

OK, na druhy log si mozna pockate - riff ma v navodu sice par minut, ale ono muzou to byt i hodiny - zalezi jak je disk plny a jak se musi prodirat jednotlivymi soubory...

[MaLy]

Tak už jsem tam pak doplnil i ten druhý LOG z Gmeru, lze tam něco vidět?

Ještě bych si zítra zkusil pohrát s těma ovladačema síťové karty, ale stejně je mi divné, že se to děje jen na těch dvou PC a někdy to najede a někdy ne. Ke shodě IP adres nebo názvů (kolizím) by tam nemělo docházet co jsem se díval. Někdo mi říkal, že se s něčím podobným setkal a dělala to snad nějaká aktualizace Windows. Rada byla abych to zkusil nechat najet, takže jsem to nechal tři dny, ale stejně bez úspěchu.

No teď už stejnak nic nevyřeším, protože u toho PC nesedím, takže zítra...

Zatím díky!

[vyosek]

OK, zeptam se i kolegu...logy z gmeru jsou OK, jen Vas poprosim abyte needitoval. nemusim si toho pak vsimnout...
Zkuste jeste raz preinstalovat drivery a uvidite. nejdrive dame do poradku tento PC a pak se vrhnem na ten druhy...
Ja tu budu dopoledne takze na to kouknem

[MaLy]

Zdravím,

vracím se po nějaké době, problém bohužel stále trvá. Někdy v pátek minulý týden, kdy jsem si hrál s těma ovladačema od síťové karty to došlo do stavu, kdy jsem musel opravovat Windows z instalačního CD.

Na serveru v prohlížeči událostí jsem žádnou chybu nedohledal, když se PC zastaví v načítání nastavení, takže nevím jak dále. Na druhém PC už to prý nedělá, ale to bych raději ještě prověřil... Ještě uvažuju, že tam zkusím dát jinou síťovou kartu jak se to bude chovat.

Takže zatím tak...

[vyosek]

Zdravim,

jedine co me napada jeste je nejaky problem s firewallem, jinak je dle meho chyba nekde v HW asi...bohuzel jsme bezpecnosti forum a na hw reseni problemu jaksi nemame kapacity Zkuste se obratit na forum ktere resi hw a site. Z naseho pohledu (havet) je PC ciste
Rad bych pomohl, ale bouzel zde neznam postup a zpusob...
Pokud budete tak laskav a podari se Vam problem vyresit (nikoliv format c: ), sdelte nam alespon v jednodussi podobe (jelikoz oprava asi nebude trivialni) naznacit jak...

Drzim palce a preji uspesne zbaveni se problemu

[MaLy]

Zdravím,

po delší době zde doplním nějaké informace, kdyby někoho potkalo něco podobného... Chybu HW bych vyloučil, zkoušel jsem jinou síťovou kartu a problém stále trval.

Takže nějaké informace na toto téma zde:

http://blogs.technet.com/b/askperf/arch ... tings.aspx

Jinak odpověď z TechNetu:

Hi,

From looking through the log, the processing halts (where explorer.exe never gets called and loaded) indicate a third party running on this computer that's causing the issue. I would suggest installing AUTORUNS from Microsoft.com and seeing what is being loaded at computer startup and user logon. Use that tool to turn off all the third parties and see if you can reproduce the issue. If that stops the issue, turn half of those disabled things on, see if the issue happens - if it does, divide that group in half, and so on until you have isolated the third party. If it does not, turn on that half and turn off the other half, repeat.

We see this issue 10 times a day here. It is always - *always* - a third party to the OS. Most often it is anti-virus software, which I recommend (before doing all of the above) you uninstall and see if you can repro. Do not just turn off the service or scanner, that does not stop anti-virus from running as it uses drivers. Must uninstall. If that fixes it, get a newer version/update from a vendor or choose a better vendor.

Good luck,

Ned Pyle
Enterprise Platforms Support, Directory Services

Zkoušel jsem odinstalovat NOD32 a znovu nainstalovat, tak uvidím zda to pomůže. Je pravda, že na třech počítačích, na kterých se to projevilo byla instalovaná jiná verze než na ostatních PC v síti. Takže uvidíme...

S pozdravem

[vyosek]

Zajimavy postreh, dekujeme za nej...pripadne treba zkuste misto NODa Avast nebo jet chvili bez AV ci opravdu nedela neplechu on...